Elasticserch

在日志分析中选择即时查询,选择 Elasticserch 数据源,就可以进行查询日志了

Elasticserch - 图1

下面介绍一下使用样例

例子1:过滤条件使用 AND 串联

说明:过滤日志中method=GET并且status=502的日志

过滤条件:method:GET AND status:502

Elasticserch - 图2

例子2:过滤值范围和关键词

说明:过滤日志中request_time值是3-10区间,并且request包含getInventoryItemInfo关键词的日志

过滤条件:request_time [3 TO 10] AND request:getInventoryItemInfo

Elasticserch - 图3

例子3:查询条件多个关键词使用 OR 串联

说明:查询request包含Evaluate OR fbs.html OR getDataSubtitles并且remote_addr不等于10.4.37.96

过滤条件:request:(Evaluate OR fbs.html OR getDataSubtitles) AND NOT remote_addr:10.4.37.96

Elasticserch - 图4