Kibana是一個基于瀏覽器頁面的Elasticsearch前端展示工具。Kibana全部使用HTML語言和Javascript編寫的，查詢語法是基于Lucene的查詢語法。允許布爾運算符、通配符和字段篩選。注意關鍵字要大寫

全文搜索

• 在搜索欄輸入login，會返回所有字段值中包含login的文檔
• 使用雙引號包起來作為一個短語搜索 "like Gecko"

字段搜索：也可以按頁面左側顯示的字段搜索

• 限定字段全文搜索：field:value
• 精確搜索：關鍵字加上雙引號 filed:"value"
• http.code:404 搜索http狀態碼為404的文檔
• 字段本身是否存在

1. 1. _exists_:http：返回結果中需要有http字段
   2. _missing_:http：不能含有http字段

通配符

• ? 匹配單個字符
• * 匹配0到多個字符
• ? * 不能用作第一個字符，例如：?text *text

模糊搜索

• ~:在一個單詞后面加上~啟用模糊搜索， first~ 也能匹配到 frist
• 還可以指定需要多少相似度，如：cromm~0.3 會匹配到 from 和 chrome
• 數值范圍0.0 ~ 1.0，默認0.5，越大越接近搜索的原始值

近似搜索

• 在短語后面加上~，如："select where"~3 表示 select 和 where 中間隔著3個單詞以內

范圍搜索

• 數值和時間類型的字段可以對某一范圍進行查詢，如：

1. 1. length:[100 TO 200]
   2. date:{"now-6h" TO "now"}
   3. [ ] 表示端點數值包含在范圍內，{ } 表示端點數值不包含在范圍內

邏輯操作

• 布爾運算符（AND，OR，NOT）， 運算符AND/OR/NOT必須大寫
• +：搜索結果中必須包含此項
• -：不能含有此項
• +apache -jakarta test：結果中必須存在apache，不能有jakarta，test可有可無

分組

• 如：(jakarta OR apache) AND jakarta
• 字段分組： title:(+return +"pink panther")

轉義特殊字符

• ?+ - && || ! () {} [] ^" ~ * ? : \??? 以上字符當作值搜索的時候需要用\轉義