Kibana 和 "not" 查询
Kibana and "not" queries
我刚刚安装了一个 ELK 堆栈(1 t3.medium 使用 ES 和 Logstash,1 t2.micro 使用 Kibana)。
所以我终于可以查看我的日志,最重要的是,围绕这个堆栈做一些学习!
我有很多这样的日志:
run-docker-runtime\x2drunc-moby-49fe22a2acfc527a65a195a0797694d933f00ce5771e927b8d99f6efaab1f161-runc.IfVJYS.mount: Succeeded.
我找到了一个解决方法 here 但在删除所有日志之前,我想在 Kibana 中进行一些过滤以消除它们。
我尝试执行以下操作:
- KQL:
message: docker and not message: "*mount*Succeeded*"
- KQL:
not message: "*mount: Succeeded."
- Lucene:
NOT message: "*mount: Succeeded."
这些查询中的任何一个都删除了上述类型的消息。
我做错了什么? :)
谢谢大家
实际上,lucene索引“单词”,单词以run开始,以mount结束。
所以 Lucene 查询应该更像 NOT message: "run*mount" AND NOT message: "Succeeded."
我刚刚安装了一个 ELK 堆栈(1 t3.medium 使用 ES 和 Logstash,1 t2.micro 使用 Kibana)。
所以我终于可以查看我的日志,最重要的是,围绕这个堆栈做一些学习!
我有很多这样的日志:
run-docker-runtime\x2drunc-moby-49fe22a2acfc527a65a195a0797694d933f00ce5771e927b8d99f6efaab1f161-runc.IfVJYS.mount: Succeeded.
我找到了一个解决方法 here 但在删除所有日志之前,我想在 Kibana 中进行一些过滤以消除它们。
我尝试执行以下操作:
- KQL:
message: docker and not message: "*mount*Succeeded*" - KQL:
not message: "*mount: Succeeded." - Lucene:
NOT message: "*mount: Succeeded."
这些查询中的任何一个都删除了上述类型的消息。
我做错了什么? :)
谢谢大家
实际上,lucene索引“单词”,单词以run开始,以mount结束。
所以 Lucene 查询应该更像 NOT message: "run*mount" AND NOT message: "Succeeded."