Graylog日志管理系统---搜索查询方法使用简介

1、Search页面的各位置功能介绍：

一、日志搜索的时间范围

     为了使用方便，预设有几个时段可供选择。默认是最近5分钟 

     也能够本身指定搜索查询的具体的时间节点，以提升准确率

      

二、日志搜索时的自动更新频率

      如页面所示：一、二、五、十、30秒和一、5分钟。默认不自动更新。

     

三、搜索框

     指定日志搜索时的关键字或条件表达式，能够是某个单独的“关键字”或“指定某个字段的值”。可使用“AND”、“OR”、“NOT”进行多条件查询搜索。填写完后直接回车或点击“放大镜”开始进行搜索查询。注意 and 或 or 、not 要大写

 

四、日志搜索结果显示的字段范围以及内容

      我们这边经常使用字段有：message、source、team、ztyq。 其中”team“是组名，表示该条日志信息属于哪一个组，”ztyq“表示该条日志信息属于哪一个项目。默认只显示message和source，为了显示全面因此须要手动把“team”和”ztyq“手动勾选上。

 

2、搜索查询时的经常使用语法

        通常在“搜索框”中进行日志搜索查询时经常使用的语法以下：  

        一、模糊查询：直接输入  baseid

        二、精确查询：加引号    “baseid”

        三、字段查询： team:base 或 ztyq:base-web  其中 team 的值主要有 base、apply、supply、chengdu、xman ，因为 ztyq 的值比较多在此不一一列举。

        四、多字段查询：ztyq:(base-service base-web)

        五、多条件查询：team:base AND ztyq:base-web OR source:192.168.0.4  

        六、正则匹配查询：ztyq:base-web AND baseid:12?4*

        注意：以上示例中涉及的符合所有是英文符号，且字母不区分大小写

 

3、官方参考文档

        官方文档介绍的要更加详细全面一些，有时间的话能够参考一下，连接以下：

         http://docs.graylog.org/en/2.3/pages/queries.html