我们在使用 ELK 的时候，使用 Lucene querystring 语法的机会，远超过使用 Elasticsearch 的 query DSL。毕竟在搜索框里写语法比自己拼 JSON 简单多了。

不过一般我们用的 querystring 语法总是最简单的几样：

text
key:value
key:"term"
k1:v1 AND NOT k2:v2

80% 的情况下，这几个用法也就足够了。但总有剩下的 20% 的情况，还是需要我们来了解一些更复杂的语法。

举一个还算通用的场景：我们在 ELK 里索引了访问日志。这时候需要查一下以 /api/login 开头的 URL 们的情况。

我们没法确定 URL 里是不是只有 /api/login 一种可能。没准可能还有 /api/oauth/login 呢？没准可能还有 login/weibo/api 呢？

一般来说，日志进 ELK 都是采用标准分词器的。而很巧，/ 就是标准分词器的停止词之一。所以，我们在搜索框里写 api/login 等效于 api login。那么太多可能都可以命中了。

这个时候，Lucene 查询语法里的距离查询(proximity query)就可以帮忙了：

url:"api login"

看起来很简单，无非是给加了一对双引号？！

没错，加引号以后，意味着这个短语查询必须是有序的，即只能命中先出现api，再出现login的文本了。这下就把 login/weibo/api 排除掉了。

其次，Lucene 距离查询默认的距离为 0，即只能命中出现api之后，下一个term必须为login的文本了。这些就把 /api/oauth/login 也排除了。

当然，如果这时候你日志里除了 api/login 还有 api,login 之类的文本，也是会命中的。不过在 url 字段里出现这个的概率不大，可以无视了~

如果你要搜的就是 /api/oauth/login，但是你不记得中间这个是不是 oauth，也可能是其他的吧，怎么办？

url:"api login"~1

后面加波浪线和距离即可。