相关说明

在复合查询中填写

0.0 ES地址 : http://user:password@:8999/cluster_id/

0.1 搜索的日志索引 : prod-logs/_search

0.2 请求方式 : POST

1. 查询出包含 log_geo 的数据 “wildcard”: { “message”: “log_geo” }

此处 log_geo 前面有*表示搜索以log_geo结尾的数据

log_geo后面有* 表示搜以log_geo开始的数据，

log_geo前后都有*就是通用匹配包含log_geo的记录

“wildcard”: { “message”: “log_geo” }

2. 查询某个时间段的数据

“range”: { “@timestamp”: { “gt”: “2018-02-08T07:00:00.056000000+00:00”,”lt”: “2018-02-08T08:00:00.056000000+00:00” } }

#注意 时区减去8小时

3. 条件查询与条件排除数据

3.1 match 包含provider 的数据

{ “match”: { “message”: “type:provider” } }

3.2 must_not 类似于 must 做排除使用

排除包含 “must_not”: { “match”: { “message”: “dateTime:2018-02-08 15:59” } },

4. from 表示起始的记录的ID

5. size 表示显示的记录数

查询语句 1，2，3可以组合，也可以单独使用

查询语句 如果得不到想要的结果应该是ES的分词导致的

{
  "query": {
    "bool": {
      "must": [
        { "range": { "@timestamp": { "gt": "2018-02-08T07:00:00.056000000+00:00","lt": "2018-02-08T08:00:00.056000000+00:00" } }  }
        ,   
        {  "wildcard": { "message": "*cp_geo*" }  }
        ,
        { "match": { "message": "*type:platform*" } }
      ],
      "must_not": { "match": { "message": "*deviceTypeCode:DTout00000000*" } },
      "should": []
    }
  },
  "from": 0,
  "size": 50,
  "sort": {  "@timestamp": "desc"  },
  "aggs": {}
}

参考文章

/dm_vincent/article/details/41720193
/pilihaotian/p/