filter:
- query:
query_string:
query: "username: bob"
- query:
query_string:
query: "_type: login_logs"
- query:
query_string:
query: "field: value OR otherfield: othervalue"
- query:
query_string:
query: "this: that AND these: those"
term: Kesin alanlarla eşleşir.
filter:
- term:
message: "foo"
Şeklinde filtreleme yaptığımız zaman, logların mesaj alanlarında foo geçen tüm loglarla eşleşir. Aşağıdaki örneğe baktığımız da 5 tane log message alanında foo olan log gelmiş ve hepsi ile eşleşme sağlanmış.
terms: Birden fazla değerle eşleşmesi için basit bir kombinasyonu vardır:
filter:
- terms:
message: ["foo", "infoowl"]
Log message foo ve infoowl olan loglarla eşleşir.
wildcard: ‘?’( Tek harf değerinde ), ’*’( Kullanış göre içindeki tüm karkterleri temsil eder. ) gibi özel karakter kullanmak için.
filter:
- query:
wildcard:
field: "foo*bar"
not, and, or :
filter:
- or:
- term:
field: "value"
- wildcard:
field: "foo*bar"
- and:
- not:
term:
field: "value"
- not:
term:
_type: "something"
Hiç yorum yok:
Yorum Gönder