www.elastic.co/guide/en/kibana/5.5/search.html

查找你的数据（Searching Your Data）

您可以通过在查询栏中输入您的搜索条件来搜索与当前索引模式匹配的索引。您可以执行简单的文本搜索，使用Lucene查询语法(query syntax)，或者使用完整的基于json的Elasticsearch搜索查询DSL(Elasticsearch Query DSL )。

当您提交一个搜索请求时，将更新直方图、文档表和字段列表，以反映搜索结果。工具栏中显示了总点击数(匹配的文档)。文档表显示了前500个点击。默认情况下，匹配按照时间倒序排列，其中最新的文档是先显示的。您可以通过单击Time列标题来反转排序顺序。您还可以根据任何索引字段中的值对表进行排序。要了解更多信息，请参阅文档表的排序(Sorting the Documents Table )。

要搜索你的数据，在搜索栏输入你的搜索条件，按下enter或点击搜索，将请求提交给Elasticsearch。

要执行一个自由文本搜索，只需输入一个文本字符串。例如，如果您正在搜索web服务器日志，您可以输入safari来搜索术语safari的所有字段。

要在特定的字段中搜索值，用字段的名称为值加上前缀。例如，您可以输入status:200，以查找在status字段中包含值200的所有条目。

要搜索一系列值，您可以使用括号范围语法，[START_VALUE TO END_VALUE]。例如，要找到具有4xx状态代码的条目，您可以输入status:[400 TO 499].。

要指定更复杂的搜索条件，可以使用布尔运算符，AND，OR和NOT。例如，要查找具有4xx状态代码的条目，并具有php或html的扩展名，您可以输入status:[400 TO 499] AND (extension:php OR extension:html)。

注意：这些示例使用Lucene查询语法。您还可以使用Elasticsearch查询DSL提交查询。例如，在Elasticsearch引用中查看查询字符串语法（query string syntax ）。

保存一个搜索（Saving a Search）

保存搜索使您能够将它们重新加载到Discover中，并将它们作为可视化（visualizations ）的基础。保存搜索可以节省搜索查询字符串和当前选择的索引模式。

保存当前搜索:

在Kibana工具栏中单击Save。

输入搜索的名称并单击Save。

您可以从Management/kibana/Saved Objects中导入、导出和删除保存的搜索。

打开一个保存的搜索(Opening a Saved Search)

将保存的搜索加载到发现:

在Kibana工具栏中单击Open。

选择您想要打开的搜索。

如果保存的搜索与当前选择的不同的索引模式相关联，那么打开保存的搜索也会改变所选的索引模式。

改变你搜索的索引(Changing Which Indices You’re Searching )

当您提交一个搜索请求时，将搜索与当前选择的索引模式匹配的索引。当前的索引模式显示在工具栏下面。要更改您正在搜索的索引，请单击index模式并选择一个不同的索引模式。

有关索引模式的更多信息，请参见创建索引模式(Creating an Index Pattern )。

刷新搜索结果(Refreshing the Search Results)

随着更多的文档被添加到您正在搜索的索引中，在Discover中展示的搜索结果会变得陈旧。您可以配置一个刷新间隔来定期重新提交您的搜索，以检索最新的结果。

启用自动更新:

单击Kibana工具栏中的时间选择器 Time Picker。

点击Auto refresh。

从列表中选择刷新间隔。

autorefresh-intervals

当启用自动刷新时，刷新间隔将显示在时间选择器旁边，以及一个暂停按钮。要临时禁用自动刷新，请单击暂停。

注意：如果没有启用自动刷新，您可以通过单击refresh手动刷新可视化。