elk平台定制化查询规则

标签：alt   定制   search   快速   时间   参数   com   table   大写   

一、查询某IP在某时间内TOP10的请求

步骤：

1. 点击“Visualize”选项卡
2. 创建“Data table”
3. 点击“From a new search”
4. 下拉选择“F5-access”
5. 在“buckets”区域点击“Split Rows”
6. Aggregation区域下拉选择“Terms”
7. Field区域下拉选择request
8. Size区域修改为10
9. 搜索框内输入：geo.ip="IP地址"
10. 右上角选择时间即可

二、其余可看的参数

1、request

2、status

3、domainname

4、verb

三、关联查询

例句：

geo.ip=‘1.1.1.1‘ AND verb=‘post‘

注意：AND必须大写

四、快速应用

1、活动页面事件展示

domainname=‘www.xxxx.com‘

效果图展示：

2、post请求

verb=‘post‘

效果图展示：

3、状态码404

status:404

效果图展示：

4、某IP查询

geo.ip=‘IP地址‘

效果图展示：

elk平台定制化查询规则

标签：alt   定制   search   快速   时间   参数   com   table   大写   

原文地址：http://www.cnblogs.com/AirCrk/p/6991944.html