/ / किबाना - जेसन, लोचदार खोज, किबाना में फ़िल्टर क्वेरी को कैसे नकारें

किबाना - जेसन, लोचदार खोज, किबाना में फ़िल्टर क्वेरी को कैसे नकारें

मैं ईएलके स्टैक का उपयोग कर रहा हूं और मैं विशिष्ट आईपी श्रेणियों (उदाहरण के लिए 10.0.0.0/8) के अलावा सभी लॉग को विज़ुअलाइज़ करने का तरीका जानने का प्रयास कर रहा हूं। फिल्टर क्वेरी को अस्वीकार करने का कोई तरीका है:

{"wildcard":{"src_address":"10.*"}}

मैंने इसे बाल्टी में रखा -> स्प्लिट बार्स -> एकत्रीकरण -> फ़िल्टर और मैं इस क्वेरी को अस्वीकार करना चाहता हूं इसलिए मुझे 10.0.0.0/8 के अलावा सभी लॉग मिल गए

यह पूरा JSON अनुरोध है:

    {
"query": {
"filtered": {
"query": {
"query_string": {
"query": "low_level_category:"user_authentication_failure" AND NOT src_address:"10.*"",
"analyze_wildcard": true
}
},
"filter": {
"bool": {
"must": [
{
"range": {
"@timestamp": {
"gte": 1474384885044,
"lte": 1474989685044,
"format": "epoch_millis"
}
}
}
],
"must_not": []
}
}
}
},
"size": 0,
"aggs": {
"2": {
"date_histogram": {
"field": "@timestamp",
"interval": "3h",
"time_zone": "Europe/Berlin",
"min_doc_count": 200,
"extended_bounds": {
"min": 1474384885043,
"max": 1474989685043
}
},
"aggs": {
"3": {
"terms": {
"field": "src_address.raw",
"size": 5,
"order": {
"_count": "desc"
}
}
}
}
}
}
}

धन्यवाद

उत्तर:

उत्तर № 1 के लिए 7

आप इसे किबाना सर्च बॉक्स में इनपुट कर सकते हैं और आपको यह चाहिए कि आपको क्या चाहिए:

NOT src_address:10.*