Windows 10環境簡單搭建ELK叢集

從以下連線https://www.elastic.co/downloads/下載elasticsearch，kibana和winlogbeat
之後解壓，並從bin檔案中啟動三個服務
訪問kibana頁面
http://localhost:5601
配置index為winlogbeat-*，使用timestamp

查詢windows10的警告資訊

檢視錯誤資訊

ELK查詢語法，摘自https://blog.csdn.net/zhengchaooo/article/details/79500130

全文搜尋

在搜尋欄輸入login，會返回所有欄位值中包含login的文件

使用雙引號包起來作為一個短語搜尋
“like Gecko”

欄位

也可以按頁面左側顯示的欄位搜尋
限定欄位全文搜尋：field:value
精確搜尋：關鍵字加上雙引號 filed:“value”
http.code:404 搜尋http狀態碼為404的文件

欄位本身是否存在
exists:http：返回結果中需要有http欄位
missing:http：不能含有http欄位

萬用字元

? 匹配單個字元

• 匹配0到多個字元

kiba?a, el*search

? * 不能用作第一個字元，例如：?text *text

正則

es支援部分正則功能,效能較差
name:/joh?n(ath[oa]n)/

模糊搜尋

quikc~ brwn~ foks~
_{:在一個單詞後面加上}啟用模糊搜尋，可以搜到一些拼寫錯誤的單詞

first~ 這種也能匹配到 frist

還可以設定編輯距離（整數），指定需要多少相似度
cromm~1 會匹配到 from 和 chrome
預設2，越大越接近搜尋的原始值，設定為1基本能搜到80%拼寫錯誤的單詞

近似搜尋

在短語後面加上~，可以搜到被隔開或順序不同的單詞
“where select”~5 表示 select 和 where 中間可以隔著5個單詞，可以搜到 select password from users where id=1

範圍搜尋

數值/時間/IP/字串 型別的欄位可以對某一範圍進行查詢
length:[100 TO 200]
sip:[“172.24.20.110” TO “172.24.20.140”]
date:{“now-6h” TO “now”}
tag:{b TO e} 搜尋b到e中間的字元
count:[10 TO *] * 表示一端不限制範圍
count:[1 TO 5} [ ] 表示端點數值包含在範圍內，{ } 表示端點數值不包含在範圍內，可以混合使用，此語句為1到5，包括1，不包括5
可以簡化成以下寫法：
age:>10
age:<=10
age:(>=10 AND <20)

優先順序

quick^2 fox
使用^使一個詞語比另一個搜尋優先順序更高，預設為1，可以為0~1之間的浮點數，來降低優先順序

邏輯操作

AND
OR

+：搜尋結果中必須包含此項
-：不能含有此項
+apache -jakarta test aaa bbb：結果中必須存在apache，不能有jakarta，剩餘部分儘量都匹配到

分組

(jakarta OR apache) AND jakarta

欄位分組

title:(+return +“pink panther”)
host:(baidu OR qq OR google) AND host:(com OR cn)

轉義特殊字元

• • = && || > < ! ( ) { } [ ] ^ " ~ * ? : \ /
    以上字元當作值搜尋的時候需要用\轉義
    (1+1)=2用來查詢(1+1)=2