Graylog日誌管理系統---搜索查詢方法使用簡介

1、Search頁面的各位置功能介紹：

一、日誌搜索的時間範圍

     爲了使用方便，預設有幾個時段可供選擇。默認是最近5分鐘 

     也能夠本身指定搜索查詢的具體的時間節點，以提升準確率

      

二、日誌搜索時的自動更新頻率

      如頁面所示：一、二、五、十、30秒和一、5分鐘。默認不自動更新。

     

三、搜索框

     指定日誌搜索時的關鍵字或條件表達式，能夠是某個單獨的「關鍵字」或「指定某個字段的值」。可使用「AND」、「OR」、「NOT」進行多條件查詢搜索。填寫完後直接回車或點擊「放大鏡」開始進行搜索查詢。注意 and 或 or 、not 要大寫

 

四、日誌搜索結果顯示的字段範圍以及內容

      我們這邊經常使用字段有：message、source、team、ztyq。 其中」team「是組名，表示該條日誌信息屬於哪一個組，」ztyq「表示該條日誌信息屬於哪一個項目。默認只顯示message和source，爲了顯示全面因此須要手動把「team」和」ztyq「手動勾選上。

 

2、搜索查詢時的經常使用語法

        通常在「搜索框」中進行日誌搜索查詢時經常使用的語法以下：  

        一、模糊查詢：直接輸入  baseid

        二、精確查詢：加引號    「baseid」

        三、字段查詢： team:base 或 ztyq:base-web  其中 team 的值主要有 base、apply、supply、chengdu、xman ，因爲 ztyq 的值比較多在此不一一列舉。

        四、多字段查詢：ztyq:(base-service base-web)

        五、多條件查詢：team:base AND ztyq:base-web OR source:192.168.0.4  

        六、正則匹配查詢：ztyq:base-web AND baseid:12?4*

        注意：以上示例中涉及的符合所有是英文符號，且字母不區分大小寫

 

3、官方參考文檔

        官方文檔介紹的要更加詳細全面一些，有時間的話能夠參考一下，連接以下：

         http://docs.graylog.org/en/2.3/pages/queries.html