Ich arbeite an der Übersetzung einer Splunk-Abfrage zu Elasticsearch DSL. Ich möchte in den Protokollen enthält so etwas wie, wenn eine URL überprüfen:Wie benutzt man die Elasticsearch Regex Abfrage richtig?
"script>" OR "UNION ALL SELECT"
Fair enough dachte ich, ging zum doc, und:
{
"regexp": {
"http.url": "script>"
}
}
Elasticsearch (2.3) antwortet:
"root_cause": [ { "Grund": "konnte die Suchquelle nicht analysieren. Unbekanntes Suchelement [regexp]", "t yp ": "search_parse_exception", "Linie": 2,
Könnte jemand mich aufklären bitte über diese Art von Fragen?
Ich bekomme das jetzt. Entschuldigung für die Verwirrung. Diese Abfrage scheint zu funktionieren. Es wäre großartig, wenn Sie mir sagen könnten, wie man OR-Logik auch auf die Abfragen anwenden kann. Ich habe das in meiner Frage jedoch nicht zu deutlich gemacht. – wishi
Dort gehen Sie. Ich habe mir erlaubt, 'regexp' in' term' zu ändern, was ** genaues ** Übereinstimmungsverhalten voraussetzt. – pickypg