使用 ElasticSearch Nuget 在名为 Message 的给定字段中搜索 Kibana 日志。
我想在消息字段中搜索“Don't Find This”子字符串。 我想验证该字符串是否不存在。
我想在同一字段内搜索子字符串“Here it is”。 我确认它存在。
使用 Match() 函数第二次测试成功。
第一次测试失败。它返回了 10 条记录,因为它们似乎包含“Don't”或“Find”或“This”。
快速搜索建议我必须更改索引或创建自定义分析器,但我不明白这样做的后果,即它会对当前工作的测试产生什么影响?
在下面的代码中,我尝试使用 MatchPhrase 而不是 Match。
我惊讶地发现使用 MatchPhrase 导致最初的工作测试失败。
ISearchResponse<LogRecord> searchResponse = await _elasticClient.SearchAsync<LogRecord>(s => s
.AllIndices()
.Query(q => q
.Bool(b => b
.Must(m =>
{
var mustClauses = new List<Func<QueryContainerDescriptor<LogRecord>, QueryContainer>>();
if (!string.IsNullOrEmpty(message))
mustClauses.Add(mc => mc.Match(m => m.Field(f => f.Message).Query(message)));
// a list of other fields here...
mustClauses.Add(mc => mc.DateRange(dr => dr.Field(f => f.Time).GreaterThanOrEquals(startDate ?? DateTime.MinValue).LessThanOrEquals(endDate ?? DateTime.Now)));
return m.Bool(b1 => b1.Must(mustClauses));
})
)
)
);
return searchResponse;
我有一个 SpecFlow 功能文件,其中指定要验证的内容是否存在,如下所示:
Then log has
| Message |
| some raw request before sending |
| Start Blah Blah transaction |
| sg_blahblah |
| sg_Year |
| sg_EmployeeNumber |
And log does not have
| Message |
| this_works_fine |
| this_works_too |
| No good |
不太确定您的 DSL 需求。
如果我理解正确的话,应该是这样的:
POST _search
{
"query":{
"bool": {
"must": [
{
"match_phrase":{
"my_message_field": "Message"
}
},
{
"match_phrase":{
"my_message_field": "some raw request before sending"
}
},
{
"match_phrase":{
"my_message_field": "Start Blah Blah transaction"
}
},
{
"match_phrase":{
"my_message_field": "sg_blahblah"
}
},
{
"match_phrase":{
"my_message_field": "sg_Year"
}
},
{
"match_phrase":{
"my_message_field": "sg_EmployeeNumber"
}
}
],
"must_not": [
{
"match_phrase":{
"my_message_field": "Message"
}
},
{
"match_phrase":{
"my_message_field": "this_works_too"
}
},
{
"match_phrase":{
"my_message_field": "this_works_fine"
}
},
{
"match_phrase":{
"my_message_field": "No good"
}
}
]
}
}
}
如果关键字只有 1 个单词,您还可以使用
filterslop我全部写在
match_phrase然后将这些
match_phraseClauses