我可以使用Kibana访问Elasticsearch实例的数据。
数据内有一个包含字符串的文本字段。
此字符串(文本字段)看起来像JSON,但不是。
这里是区别(请关注 JSON 中的“消息”键):
如果展开文档以显示带有小“已打开的文件夹”图标的“展开的文档” View ,则可以选择两个选项卡“表格”和“JSON”。
选择“JSON”。
然后您将看到以下情况:
{
"_index": "kibana_sample_data",
"_type": "_doc",
"_id":"someString",
"_version": 1,
"_score": null,
"_source":{
"first_key":"some string",
"message":
"{
\"length\": 11.99,
\"percentage\": 0,
\"name\": \"foo\",
\"category\": \"bar\",
\"sub_msg\": \"M001: This is a message-code.\"
}"
}
}
我应该看到使用GUI过滤器轻松选择它的是一个像这样的JSON:
{
"_index": "kibana_sample_data",
"_type": "_doc",
"_id":"someString",
"_version": 1,
"_score": null,
"_source":{
"first_key":"some string",
"message":
{
"length": 11.99,
"percentage": 0,
"name": "foo",
"category": "bar",
"sub_msg": "M001: This is a message-code"
}
}
}
更详细地, Elasticsearch 查询DSL部分:
{
"query": {
"regexp": {
"message": "{.*"
}
}
}
它匹配的是如果我尝试在消息中搜索像这样的键:
{
"query": {
"regexp": {
"message": "sub_msg"
}
}
}
{
"query": {
"regexp": {
"message": "M001: This is a message-code"
}
}
}
不幸的是,我觉得我现在处于死胡同。
我还尝试了诸如在查询DSL中的实际反斜杠上添加一些“\”来转义该值的转义字符的操作。这在Kibana中引发了异常。
最佳答案
问题是,像json一样的字符串在被索引时会被除去特殊字符,这大概是由于默认的standard分析器应用于文本字段,除非您明确提供另一个分析器。更多信息here和here。
您可以使用以下方法检查标准分析仪之后message的内容:
GET _analyze
{
"text": "{\"length\": 11.99, \"percentage\": 0, \"name\": \"foo\", \"category\": \"bar\",\"sub_msg\": \"M001: This is a message-code.\"}",
"analyzer": "standard"
}
GET kibana_sample_data/_search
{
"query": {
"regexp": {
"message.keyword": "{.*"
}
}
}
{
"query": {
"regexp": {
"message.keyword": ".*\"M001: This is a message-code.\".*"
}
}
}
关于json - Kibana查询DSL:如何在包含JSON语法的文本值字段上应用正则表达式过滤器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62901313/