我使用 ELK 来安排我的日志,日志来自很多地方,有些记录可能不包含多个字段,问题是找到这些记录的最佳方法是什么?我可以找到不包含多个字段的日志吗?
问问题
3825 次
1 回答
0
Kibana 在其过滤器中使用 Elasticsearch 的查询字符串查询语法。查找没有给定字段的文档的语法是_missing_:FIELD_NAME. +运算符是确保特定搜索词必须出现在匹配文档中的首选方式。结合这两者将允许您搜索缺少多个字段的文档:
+_missing_:foo +_missing_:bar +_missing_:baz
于 2015-10-23T05:05:13.380 回答