我正在尝试寻找一种在kibana 5.3上解析UserAgent的方法,以便获得以下响应:
"aws-sdk-java/1.11.76 Mac_OS_X/10.12.5"
"aws-sdk-java/1.11.78 Mac_OS_X/10.11.2"
"aws-sdk-java/1.11.80 Mac_OS_X/10.10.1"
"aws-sdk-java/1.11.83 Mac_OS_X/10.12.2"
"aws-sdk-java/1.10.33 Mac_OS_X/10.12.3"
等等..
我试过了吗?替换数字
{
"query": {
"match": {
"userAgent": {
"query": "aws-sdk-java/?.??.?? Mac_OS_X/??.??.??",
"type": "phrase"
}
}
}
}
或<0-100>用于数字范围
{
"query": {
"match": {
"userAgent": {
"query": "aws-sdk-java/<0-100>.<0-100>.<0-100> Mac_OS_X/<0-100>.<0-100>.<0-100>",
"type": "phrase"
}
}
}
}
甚至连*
{
"query": {
"match": {
"userAgent": {
"query": "aws-sdk-java/*.*.* Mac_OS_X/*.*.*",
"type": "phrase"
}
}
}
}
没什么,Kibana永远找不到任何东西,我需要做:
{
"query": {
"match": {
"userAgent": {
"query": "aws-sdk-java/*",
"type": "phrase"
}
}
}
}
然后它可以工作,但我不想排除其余的字符串。
字段userAgent是字符串类型,他是可搜索的和进行了分析的。谁能给我提示我所缺少的东西吗?谢谢
最佳答案
您需要为keyword字段提供userAgent类型的子字段。或者,如果您依靠Elasticsearch映射您的字符串字段it should have it by default。
添加此keyword字段后,例如:
{
"userAgent": {
"type" "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
}
}
您可以使用以下查询:
{
"query": {
"regexp": {
"userAgent.keyword": "aws-sdk-java/[0-9]+\\.[0-9]{2}\\.[0-9]{2} Mac_OS_X/[0-9]{2}\\.[0-9]{2}\\.[0-9]+"
}
}
}
关于elasticsearch - ELK 5.3上的Lucene语法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44589655/