如何在Kibana/ELK中进行“where not exists”类型的过滤？

在Kibana 5的搜索栏中很容易实现。只需添加一个过滤器

!(_exists_:"your_variable") 

你可以切换筛选器或编写反向查询

_exists_:"your_variable"

在Kibana 4和Kibana 3中，您可以使用现在已被弃用的查询。

_missing_:"your_variable"  

---

注意: 在 Elasticsearch 7.x 版本中，Kibana现在在搜索栏中提供下拉菜单以选择KQL或Lucene风格的查询。请注意，诸如 _exists_:FIELD 的语法是 Lucene 语法，您需要相应地设置下拉菜单。

---

在更新的ELK版本中（我认为是Elasticsearch 6之后），您应该使用field:*来检查字段是否存在，使用not field:*来检查它是否丢失。
弹性搜索参考文献： https://www.elastic.co/guide/en/elasticsearch/reference/6.5/query-dsl-query-string-query.html#_wildcards

! (_exists_:NAME)这个语句对我无效。我参照了以下建议：

https://discuss.elastic.co/t/kibana-5-0-0--missing--is-not-working-anymore/64336

NOT _exists_:NAME

更新 我面临的问题是，ES语法禁止在否定操作符后面使用空格。请使用以下其中一种：

NOT _exists_:FIELD
!_exists_:FIELD
-_exists_:FIELD

查看教程：https://www.timroes.de/2016/05/29/elasticsearch-kibana-queries-in-depth-tutorial/

---

注意：在 Elasticsearch 7.x 中，Kibana 现在有一个下拉菜单可以选择 KQL 或 Lucene 风格的查询语句。请注意，如 _exists_:FIELD 这样的语法是 Lucene 语法，您需要相应地设置下拉菜单。

在新版本的Kibana中，默认语言现在是KQL（Kibana查询语言），不再是Lucene。因此，这里大多数答案都已过时。查询字段是否存在的查询语句如下：

your_variable:*

为了回答你的问题，你可以将其否定：

not your_variable:*

您可以在此处找到更多文档：https://www.elastic.co/guide/en/kibana/7.15/kuery-query.html 您也可以在搜索字段内点击按钮切换回Lucene，但我认为新语言更易于使用：

一个选项是在Kibana中为此条件创建自己的查询。然后只需让计数面板使用此查询即可。

value:failure

更多信息请参见： http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html#query-string-syntax