1、 搜索詞周圍的引號將啓動詞組搜索。 例如,message:"Quick brown fox"將在message字段中搜索短語 “quick brown fox”。 如果沒有引號,您的查詢將通過message字段的已配置分析器分解爲token,並且將匹配包含這些token的文檔,而不考慮其出現的順序。 這意味着帶有"quick brown fox"的文檔將匹配,但是"quick fox brown"也將匹配。 如果要搜索短語,請記住使用引號。
2、在KQL中, 多個搜索詞必須由顯式布爾運算符分隔。使用 and 來連接必須的搜索項。and 比 or 優先級高。
3、存在一種速記,可以使我們輕鬆地在單個字段中搜索多個值。
response:(200 or 404)搜索response字段與200或404匹配的文檔。我們還可以搜索有包含terms列表的多值字段的文檔,例如:ttags:(success and info and security)
4、response:* 將找到所有存在response字段的文檔。
5、可以通過在其前面加上not 前綴來否定terms。例如:
not response:200 將匹配response不爲200的所有文檔。