通过字段过滤(Filtering by Field)

您可以过滤搜索结果，只显示那些在字段中包含特定值的文档。您还可以创建排除包含指定字段值的文档的否定过滤器。

您可以从“字段”列表，“文档”表中添加字段过滤器，也可以手动添加过滤器。 除了创建正面和负面的过滤器之外，“文档”表还允许您过滤是否存在字段。 查询栏下面显示了应用的过滤器。 负过滤器显示为红色。

要从字段列表中添加一个过滤器:

1.单击您想要过滤的字段的名称。这将显示该字段的前5个值。

filter-field

2.要添加正过滤器，请单击“正过滤器”按钮。这仅包括那些在该字段中包含该值的文档。

3.要添加否定过滤器，请点击“否定过滤器”按钮。这不包括在该字段中包含该值的文档。

从“文档”表添加过滤器：

1.单击文档表格条目左侧的“展开”按钮，展开“文档”表格中的文档。

Expanded-Document

2.要添加正面过滤器，请单击字段名称右侧的“正面过滤器”按钮。这仅包括那些在该字段中包含该值的文档。

3.要添加否定过滤器，请单击字段名称右侧的负过滤器按钮。这不包括在该字段中包含该值的文档。

4.要过滤文档是否包含该字段，请单击字段名称右侧的Exists按钮。这只包含那些包含该字段的文档。

要手动添加过滤器：

1.点击添加过滤器。弹出窗口将显示给您创建过滤器。

add_filter

2.选择要过滤的字段。这个字段列表将包括您正在查询的索引模式的字段。

add_filter_field

3.为您的过滤器选择一项操作。

可以选择以下操作符：

is 筛选字段的值与给定值匹配。

is not 筛选字段的值与给定值不匹配。

is one of 筛选字段值与指定值之一匹配的值。

is not one of 筛选字段的值不匹配任何指定值。

is between  筛选字段的值在给定范围内。

is not between 筛选字段的值不在给定范围内。

exists 对该字段的任何值进行筛选。

does not exist 对该字段没有任何值的过滤器。

1.选择您的过滤器的值。

add_filter_value

2.（可选）为过滤器指定一个标签。如果您指定一个标签，它将显示在查询栏下方而不是过滤器定义。

3.点击Save。该过滤器将应用于您的搜索并显示在查询栏下方。

注意：为了使过滤器编辑器更加用户友好，您可以启用filterEditor:suggestValues高级设置。如果您对聚合字段进行过滤，那么启用这一功能将导致编辑器建议您的索引中的值。但是，对于超大的数据集，不建议这样做，因为这会导致长时间的查询。

管理过滤器(Managing Filters)

要修改过滤器，请将鼠标悬停在上面，然后单击其中一个操作按钮。

filter-allbuttons

启用过滤器

禁用筛选器而不删除它。再次点击重新启用过滤器。斜条纹表示禁用了过滤器。

针过滤器

固定过滤器。在Kibana中切换上下文时，固定的过滤器保持不变。例如，您可以在“发现”中固定一个过滤器，并在切换到“可视化”时保持原样。请注意，过滤器基于特定的索引字段，如果搜索的索引不包含固定过滤器中的字段，则不起作用。

反转过滤器

从正滤镜切换到负滤镜，反之亦然。

删除过滤器

删除过滤器。

编辑过滤器

编辑过滤器定义。使您能够手动更新过滤器并指定过滤器的标签。

要将筛选器操作应用于所有应用的筛选器，请单击“Actions”并选择操作。

编辑过滤器(Editing a Filter)

您可以通过更改与过滤器关联的字段，运算符或值（请参阅上面的“添加过滤器”部分），或者直接修改为执行过滤搜索结果的过滤器查询来编辑过滤器。这使您可以创建基于多个字段的更复杂的过滤器。

1.要编辑过滤器查询，首先单击过滤器的编辑按钮，然后单击编辑查询DSL(Edit Query DSL)。

edit_filter_query

2.您可以编辑过滤器的查询。

edit_filter_query_json

例如，您可以使用bool查询为示例日志数据创建一个筛选器，以显示源自加拿大或中国的导致404错误的匹配：

{"bool":{"should":[{"term":{"geoip.country_name.raw":"Canada"}},{"term":{"geoip.country_name.raw":"China"}}],"must":[{"term":{"response":"404"}}]}}

query-body