Kibana Query Language (KQL) 是一种用于在 Kibana 中查询和过滤 Elasticsearch 数据的语言。KQL 提供了一种简单而强大的方式来构建查询,从而在 Kibana 中进行数据分析和可视化。以下是 KQL 的一些基本概念和示例。
基本语法
KQL 的基本语法很简单,主要由字段、运算符和值组成。常见的运算符包括 :, AND, OR, 和 NOT。
字段和值
kql
field_name: "value"例如,查询 status 字段值为 200 的文档:
kql
status: 200匹配多个值
使用 OR 运算符匹配多个值:
kql
status: 200 OR status: 404排除值
使用 NOT 运算符排除特定值:
kql
NOT status: 500组合条件
使用 AND 运算符组合多个条件:
kql
status: 200 AND extension: "jpg"范围查询
KQL 支持范围查询,可以用于数值、日期等字段。使用 >、<、>= 和 <= 运算符进行范围查询。
例如,查询 bytes 字段值大于 1000 的文档:
kql
bytes > 1000查询 timestamp 字段在特定日期范围内的文档:
kql
timestamp >= "2023-01-01" AND timestamp <= "2023-12-31"通配符查询
KQL 支持使用通配符 * 和 ? 进行模糊匹配。
例如,查询以 error 开头的所有字段:
kql
message: error*查询包含 warn 的所有字段:
kql
message: *warn*正则表达式查询
KQL 支持使用正则表达式进行复杂的模式匹配。正则表达式需要用 / 包围。
例如,查询以 error 开头的所有消息:
kql
message: /error.*/嵌套查询
使用括号 () 创建嵌套查询,以控制布尔操作的优先级。
例如:
kql
(status: 200 AND extension: "jpg") OR (status: 404 AND extension: "png")存在查询
使用 _exists_ 关键字查询字段是否存在。
例如,查询 user 字段存在的文档:
kql
_exists_: user示例
查询状态为 200 且扩展名为 jpg 的文档:
kql
status: 200 AND extension: "jpg"查询状态为 200 或 404,且扩展名为 png 的文档:
kql
(status: 200 OR status: 404) AND extension: "png"查询字节数大于 1000 且时间戳在特定范围内的文档:
kql
bytes > 1000 AND timestamp >= "2023-01-01" AND timestamp <= "2023-12-31"查询消息字段包含 error 或 warn 的文档:
kql
message: *error* OR message: *warn*总结
Kibana Query Language (KQL) 是一种功能强大且易于使用的查询语言,适用于在 Kibana 中查询和过滤 Elasticsearch 数据。通过熟练掌握 KQL 的基本语法和操作,可以高效地在 Kibana 中进行数据分析和可视化。