根据字段过滤edit
可以对搜索结果进行过滤,只显示包含特定字段值的文档。也可以创建否定过滤器,排除包含特定字段值的文档。
从 Fields 表或 Documents 表中选择要添加的字段过滤器。除了可以创建积极字段和消极过滤器外,Documents 表还可以过滤某一字段是否存在。使用过的过滤器会在 Query 栏下方显示。消极过滤器用红色显示。
从 Fields 列表中添加一个过滤器:
-
点击想要过滤的字段名。这里显示了该领域最常用的五个字段值。
-
添加积极过滤器,请点击 Positive Filter 按钮
。这会只显示包含该字段值的文档。
-
添加消极过滤器,请点击 Negative Filter 按钮
。这会排除包含该字段值的文档。
从 Documents 表中添加一个过滤器:
-
通过点击文档表条目左侧的 Expand 按钮
展开 Documents 表中的一个文档。
-
添加积极过滤器,请点击该字段名右侧的 Positive Filter 按钮 。这会只显示包含该字段值的文档。
-
添加消极过滤器,请点击该字段名右侧的 Negative Filter 按钮 。这会排除包含该字段值的文档。
-
过滤文档是否包含某一字段,请点击该字段名右侧的 Exists 按钮
。这会只显示包含该字段的文档。
管理过滤器edit
修改一个过滤器,请将鼠标置于该过滤器,然后点击某个操作按钮。
-
启动过滤器
- 禁用过滤器不会删除过滤器。再次点击会重启过滤器。斜条纹表示过滤器被禁用。
-
固定过滤器
- 当把上下文切换为 Kibana 时,被固定的过滤器仍然有效。例如,在 Discover 中固定一个过滤器,若切换至 Visualize,该过滤器仍然存在。请注意,过滤器是基于某个特定的索引字段——如果搜索的索引不包含固定过滤器中的字段,将不会生效。
-
切换筛选器
- 在积极过滤器和消极过滤器之间转换。
-
移除过滤器
- 移除过滤器。
-
编辑过滤器
- 编辑过滤器定义。可用于手动更新过滤查询和为过滤器指定标签。
对所有已应用的过滤器进行一次过滤,点击 Actions 并选择过滤指令。
编辑过滤器edit
可以编辑一个过滤器对查询结果的过滤查询进行直接调整。这能够创建基于多个字段的更复杂的过滤器。
例如,可以使用 bool query 为示例日志数据创建一个过滤器,该日志数据显示的是加拿大或中国导致404错误的匹配记录。
{
"bool": {
"should": [
{
"term": {
"geoip.country_name.raw": "Canada"
}
},
{
"term": {
"geoip.country_name.raw": "China"
}
}
],
"must": [
{
"term": {
"response": "404"
}
}
]
}
}