正则expression式string似乎不能在ELK堆栈中工作

我是新来的ELK堆栈，并遇到一些问题，我觉得应该很简单。我有如下所示的日志数据（从elasticsearch API中检索）：

{ "_index": "filebeat-2017.06.02", "_type": "log", "_id": "AVxqBHFg2ZHUP62Y4ofK", "_version": 1, "found": true, "_source": { SNIPPING stuff I don't think is important here }, "host": "LYNCHC", "source": "C:\\PathToTheFile.log", "message": "\"INFO\",\"mc-1\",\"04\/26\/2017\",\"02:26:55\",\"\",\";Error invoking external process **SNIPPING for brevity**", "type": "log", "tags": [ "beats_input_codec_plain_applied" ] } }

和其他日志，看起来像这样：

 { "_index": "filebeat-2017.06.02", "_type": "log", "_id": "AVxqBHhd2ZHUP62Y4ofR", "_version": 1, "found": true, "_source": { SNIPPING stuff I don't think is important here }, "host": "LYNCHC", "source": "C:\\PathToTheFile.log", "message": "\"ERROR\",\"mc-25\",\"03\/15\/2017\",\"19:27:09\",\"\",\"exception thrown trying to stop apache**SNIPPING for brevity**", "type": "log", "tags": [ "beats_input_codec_plain_applied" ] } }

我想构造一个查询（通过kibana传递的elasticsearch查询），它将查找第一个日志，同时过滤第二个日志（注意，我不能只查询单词“错误”，因为错误包含在第二个日志types）。

我正在试图做一个正则expression式查询，这感觉应该工作，但它不（它返回零结果）：

 { "query": { "regexp": { "message": "\"ERROR\".*" } } }

以下查询返回结果，虽然它返回两种types的日志：

 { "query": { "regexp": { "message": "error" } } }

值得注意的是区分大小写似乎很重要（search“ERROR”也会返回零结果）。我不确定我要出错的地方，并且觉得我在跟随文档。我错过了什么吗？

正则expression式string似乎不能在ELK堆栈中工作

Python在Alpine Linux中的正则expression式

Fluent捕获来自Docker的堆栈跟踪

TypeError：db.collection不是一个函数

如何检查docker实例在Bash中运行

sed：未终止的's'命令 – 找不到需要转义的东西

如何将正则expression式作为ulr中的查询parameter passing给Papartrail

使用Docker ADD命令为多个文件

docker sshd容器使用syslog的Fail2banfilter

将stringparsing为从命令行输出的数组