我刚刚安装了一个ELK堆栈(1个t3.medium与ES和Logstash,1个t2.micro与Kibana)。
所以我终于可以看一看我的日志,最重要的是,围绕这个堆栈做一些学习!
我有很多这样的日志:message: docker and not message: "*mount*Succeeded*"
我找到了一个变通办法here,但在删除所有日志之前,我想在Kibana内部做一些过滤,以不看到它们。
我试着做了以下几点:
- KQL:
message: docker and not message: "*mount*Succeeded*" - KQL:x1个月2个月1个月
- Lucene:
NOT message: "*mount: Succeeded."
这些查询中的任何一个都删除了上述类型的消息。
我做错了什么?:)
谢谢大家
1条答案
按热度按时间y4ekin9u1#
实际上,Lucene索引“words”,这个单词在这里以
run开始,以mount结束。所以Lucene查询应该更像
NOT message: "run*mount" AND NOT message: "Succeeded."