kinana是一个功能强大、可对Elasticsearch数据进行可视化的开源工具。
我们在dashboard创建可视化时,有时需要将某个index里数据的某个字段根据是否包含某些特定关键词进行过滤,这个时候就可以用到lens里的filter功能很方便地进行操作。
如上图所示,一个名为 formatted-logs的index数据用于检索,我选择了三个字段构成图中的表格,分别是 hostname, abstract 和 log.keyword。
需求一:
将 log.keyword 字段中包含 “No. of IPv6 Unicast prefixes received from” 字符串的行数筛选出来。
操作:
点击 “添加筛选”,选择 log.keyword 字段,在运算符处选择 “是”,然后在“值”一栏填入“No. of IPv6 Unicast prefixes received from *”,因为我们是要匹配包含某字符串的字段内容而不是精确查找,填写完成后点击“保存”,然后会发现一个问题,就是找不到结果。
这个时候再点击刚刚创建的filter标签,点击“编辑筛选”。
点击“编辑为查询DSL”,DSL是ES提供的一种灵活的、基于 JSON 的查询语言。
这个时候可以看到实际用来查询的DSL,可以发现用到的检索是精确匹配,用的是“match_phrase”, 我们希望能够用*进行模糊匹配,所以要把检索方式换成“wildcard”
将精确匹配的“match_phrase”换成支持模糊匹配的“wildcard”,然后再点击“保存”
保存之后,就可以看到所有选择的时间范围内包含 “No. of IPv6 Unicast prefixes received from *” 字符串的日志数据了。
需求二:
将 log.keyword 字段中包含 “No. of IPv6 Unicast prefixes received from” 字符串的日志数据过滤掉。
操作:
将包含某指定字符串的数据行过滤掉不显示在表格内容中,其实就是在实现需求一所用到的ES查询DSL中进行反向操作。
这个时候可以使用 bool 查询中的 must_not 子句。must_not 子句用于排除与特定条件匹配的字段所在行数据(谢谢ChatGPT的倾情解答)。
那么将DSL调整为如下即可:
这个时候再更新检索结果,就可以看到log.keyword 字段中不包含 “No. of IPv6 Unicast prefixes received from” 字符串的日志数据。
最后的温馨tips: DSL 可以使用AI工具帮忙生成!!再次感谢ChatGPT。
