通过字段过滤
你可以过滤搜索结果,只显示那些在字段中包含特定值的文档,你还可以创建否定过滤器,以排除包含指定字段值的文档。
你可以通过字段列表、文档列表或手动添加过滤器来添加字段过滤器,除了创建肯定过滤器和否定筛选器之外,文档列表还允许你对字段是否存在进行过滤,查询栏下面显示了应用的过滤器,否定过滤器显示为红色。
从字段列表中添加一个过滤器:
- 单击要过滤的字段的名称,这将显示该字段的前5个值。
- 要添加一个肯定过滤器,单击肯定过滤器按钮,这只包括字段中包含该值的文档。
- 若要添加否定过滤器,请单击否定过滤器按钮,这将排除字段中包含该值的文档。
从文档列表中添加一个过滤器:
- 通过单击文档列表条目左侧的展开按钮展开文档,可以在文档列表中展开文档。
- 要添加肯定过滤器,请单击字段名称右侧的肯定过滤器按钮,这只包括字段中包含该值的文档。
- 若要添加否定过滤器,请单击否定过滤器按钮,这将排除字段中包含该值的文档。
- 要过滤文档是否包含字段,请单击字段名称右侧的存在按钮,这只包括那些包含此字段的文档。
手动添加过滤器:
- 点击Add Filter,将显示一个弹出窗口,以便你创建过滤器。
- 选择要过滤的字段,这个字段列表将包含你正在查询的索引模式中的字段。
- 为你的过滤器选择一个操作。
可以选择以下操作符:
is |
过滤字段的值匹配给定的值 |
is not |
过滤字段的值不匹配给定的值 |
is one of |
过滤字段的值匹配指定的值之一 |
is not one of |
过滤字段的值不匹配任何指定的值 |
is between |
过滤字段的值在给定的范围内 |
is not between |
过滤字段的值不在给定的范围内 |
exists |
过滤字段存在任何值 |
does not exist |
过滤字段中不存在值 |
- 为你的过滤器选择值,如果要对聚合字段进行过滤,可以将索引中的值建议为选择。
- (可选的)为过滤器指定一个标签,如果指定一个标签,它将显示在查询栏下面,而不是过滤器定义下面。
- 点击Save,过滤器将应用于你的搜索,并显示在查询栏下面。
如果由于值建议而导致长时间运行查询,可以通过将高级设置filterEditor:suggestValues设置为false关闭建议。
管理过滤器
要修改过滤器,将鼠标悬停在它上面并单击其中一个操作按钮。
- 启用过滤器 => 禁用过滤器而不删除它,再次单击以重新启用过滤器,斜条纹表示过滤器被禁用。
- Pin过滤器 => Pin过滤器 ,在Kibana中切换上下文时,固定过滤器将持续存在。例如,你可以在Discover中插入一个过滤器,当你切换到Visualize时,它仍然保留在原来的位置。注意,过滤器基于特定的索引字段 - 如果正在搜索的索引不包含固定过滤器中的字段,则没有任何效果。
- 颠倒过滤器 => 从肯定滤波器切换到否定滤波器,反之亦然。
- 移除过滤器 => 移除此过滤器。
- 编辑过滤器 => 编辑过滤器定义,允许你手动更新过滤器并为过滤器指定一个标签。
要将过滤操作应用于所有应用过滤器,单击Actions并选择操作。
编辑过滤器
你可以通过更改与过滤器关联的字段、操作符或值来编辑过滤器(请参阅上面的“添加筛选器”部分),或者直接修改过滤器查询来过滤搜索结果,这使你能够创建基于多个字段的更复杂的过滤器。
- 要编辑过滤器查询,首先单击过滤器的Edit按钮,然后单击Edit Query DSL。
- 然后,你可以编辑过滤器的查询。
例如,你可以使用bool查询为示例日志数据创建一个过滤器,该过滤器显示导致404错误的来自加拿大或中国的命中:
{
"bool": {
"should": [
{
"term": {
"geoip.country_name.raw": "Canada"
}
},
{
"term": {
"geoip.country_name.raw": "China"
}
}
],
"must": [
{
"term": {
"response": "404"
}
}
]
}
}
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。