一. 定義索引模式匹配

1、前綴模糊匹配，一個模式匹配多個索引

　　每一個數據集導入到Elasticsearch後會有一個索引匹配模式，在上段內容莎士比亞數據集有一個索引名稱為shakespeare，賬戶數據集的索引名稱為bank。一個索引匹配模式就是一個字符串包含可選的通配符，它能匹配多個索引。比如，在常用的日誌案例中，一個典型的索引名稱包含MM-DD-YYYY格式的日期，因此一個5月的索引匹配模式可能是這樣：logstash-2015.05*。

　　2、選擇時間字段

　　Logstash數據集包含時間系列的數據，所以在點擊Add New按鈕創建完模式匹配後，確保Index contains time-based events復選框勾選，並在Time-field name下拉列表中選擇@timestamp字段。

3、Discover查詢數據

　　選擇創建的test*模式，點擊查詢

二、 基本查詢用法

1、分詞查詢，輸入：測試 日誌

　　分詞查詢，匹配任何字段包含（測試或日誌）

2、不分詞、輸入："測試 日誌"

　　匹配任何字段包含（測試 日誌）

3、指定字段查詢、輸入：level:INFO

　　查詢level字段為INFO

4、指定字段查詢and多條件查詢、輸入：level:INFO and message:測試 日誌

　　查詢level字段為INFO且message匹配字段包含（測試或日誌）

5、指定字段查詢or多條件查詢、輸入：level:INFO ormessage:測試 日誌

　　查詢level字段為INFO或者message匹配字段包含（測試或日誌）

6、範圍查詢

　　account_number:<100 AND balance:>47500

7、正則表達式

　　* 匹配0到多個字符：*oken

　　? 匹配單個字符 : tok?n

二、 數據可視化

不只是發現數據 Visualize頁面的可視化工具能使你用好幾種不同的方式展示你數據集的很多方面。

ES系列二十、kibana基本用法