@runzhliu
2018-01-02T08:33:47.000000Z
字数 1903
阅读 960
Kibana 推荐系统
很多系统的日志都会放在 Kibana 供查询,就是所谓的 ELK。Kibana 除了可以使用界面供的一些 tab 或者 button 去筛选日志,也可以在搜索栏中使用 Lucene 的语法简单的交互式查询。可以做基于字段的特定搜索,过滤数据,也可以查看索引号的文档。
查询的语法可以参考 官方文档 ,非常易读,非常容易,包括正则语法和其他模糊匹配方法。
如果查询的时候没有明确查询的字段,会默认为 _all 字段,也就是全文查询。也可以指定一个字段,又称为 field 来查询。
# 全文查询 ExceptionException# 指定查询字段 message 里的 Exceptionmessage: Exception# 查询短语message: "java.lang.NullPointerException"# 任何 message 字段都包含 Exceptionmessage\*: Exception# 通配符的使用,? 代替单个字符,* 代替零个或者多个字符message: Exceptio*# 正则表达式通过使用 / 包围,可以植入到查询的字符串中message: /Ex?(cep[tion])/# 另一个正则的使用,匹配的含义是「两位非abc的任意字符」info.recallId: /[^abc]{2}/
可以通过一些布尔操作符来使用,如果查询中没有任意的操作符号,那么默认使用 OR 操作符。
# 支持 AND, OR, NOT,也可以写成&&, ||, !操作符message: ((Exception AND Error) OR (Error AND Exception) OR Error) AND NOT Exception# 包含 lucene 但不包含 elasticsearchlucene NOT elasticsearch# + 必须包含,其他可有可无,lucene 必须包含,apache 可有可无...+lucene apache# 不能出现的操作符号"-",包含了 lucence,但不包含 apache...+lucene-apache
可以指定日期、数字或者字符串字段的范围
# [min TO max] 是闭区间# {min TO max} 是开区间@timestamp: [1510536210000 TO 1510550000000]# * 表示一端不限制范围count:[10 TO *]
保留字符包括以下,需要使用转义符来进行转义:
# 例子message: "domain\=jobmd_ent4ent"# 转义符+-=&&||><!(){}[]^"~*?:\/
使用"~”字符以及一个紧随其后的整数值,当使用该修饰符修饰一个词项的时候,意味着我们想搜索那些包含该此项近词项的文档。"~"字符后的整数值确定了近似词项与原始词项的最大编辑距离。
# mastering book Elasticsearch 也会被认为匹配title: "mastering Elasticsearch"~2
可以保存之前的 query,通过历史记录可以查找最近的使用。
可以设置相对 relative 或者绝对 absolute 时间过滤器,前者是相对于当前时间的时间,后者是绝对时间。
固定的查询条件的情况下,可以设置自动刷新的时间来刷新可视区域。
选择区域可以出发时间过滤器。
可以通过 add 添加不同组合。
导航栏处有一个 share 按钮,将查询的语句通过链接的方式进行分享,分别团队成员一起查询。
id 和 domain
# 已知 domain 为 bbs_app_recomm,并且用户名为「oscar」的请求,在2017年11月7日 下午4点前后,有一次推荐的 bad case,需要这次推荐的过程,了解为何会产生这次推荐的结果。# 通过查询到的结果上下浏览,得到该用户的 recall 和 rerank 结果,大致可以找到 bad case 的原因。message: "oscar" AND @timestamp: 1510042056000