前面我们讲了ELK系列文章的安装备份和恢复，咱们今天来说说如何在Kibana中搜索你想要的日志，下面列举一些比较常用的搜索方式，以便快速定位到你想要的日志，从而进一步对日志进行分析并解决问题。下面我们就直接开工列举方式。

只需输入一个文本字符串。例如，如果您正在搜索web服务器日志，您可以输入safari来搜索术语safari的所有字段

用字段的名称作为值的前缀。例如，您可以输入status:200来查找在status字段中包含值为200的所有条目。例子如下：

status字段包含active。表达式为：status:active

title字段包含quick或black。如果省略OR操作符，则使用默认操作符。表达式为：title:(quick OR black) 或者 title:(quick black)

其中author字段包含确切的短语“Jack”。表达式为：author:"Jack"

实体类多个字段混合查询如：book.content、book.name、book.date包含quick或black(注意我们需要用反斜杠来转义*)。表达式为：

book.*:(quick black)

通配符搜索可以在单独的条件上运行，使用?替换单个字符，*替换零个或多个字符。表达式为：qu?ck bla*。唯一要注意的是通配符查询可能会使用大量内存，并且性能非常差，你想想需要查询多少项才能匹配查询字符串“a* b* c*”。

正则表达式可以通过将查询字符串包装在前后斜杠("/")中，例如： name:/joh?n(ath[oa]n)/。更多语法参考官网传送门

我们可以使用“~”操作符来搜索与我们搜索词相似但又不完全相似的词，例如：quikc~ brwn~ foks~

邻近查询允许指定的单词间隔更远或以不同的顺序。

可以为日期、数字或字符串字段指定范围。包含范围用方括号[最小到最大]指定，排除范围用花括号{最小到最大}指定。