Graylog日志管理系统-搜索查询方法使用简介

2018-11-27 约 754 字预计阅读 2 分钟

Graylog日志管理系统—搜索查询方法使用简介

为了使用方便，预设有几个时段可供选择。默认是最近5分钟

也可以自己指定搜索查询的具体的时间节点，以提高准确率

如页面所示：1、2、5、10、30秒和1、5分钟。默认不自动更新。

指定日志搜索时的关键字或条件表达式，可以是某个单独的“关键字”或“指定某个字段的值”。可以使用“AND”、“OR”、“NOT”进行多条件查询搜索。填写完后直接回车或点击“放大镜”开始进行搜索查询。注意 and 或 or 、not 要大写

咱们这边常用字段有：message、source、team、ztyq。其中”team“是组名，表示该条日志信息属于哪个组，”ztyq“表示该条日志信息属于哪个项目。默认只显示message和source，为了显示全面所以需要手动把“team”和”ztyq“手动勾选上。

一般在“搜索框”中进行日志搜索查询时常用的语法如下：

1、 模糊查询 ：直接输入 baseid

2、 精确查询 ：加引号 “baseid”

3、 字段查询 ： team:base 或 ztyq:base-web 其中 team 的值主要有 base、apply、supply、chengdu、xman ，由于 ztyq 的值比较多在此不一一列举。

4、 多字段查询 ：ztyq:(base-service base-web)

5、 多条件查询 ：team:base AND ztyq:base-web OR source:192.168.0.4

6、 正则匹配查询 ：ztyq:base-web AND baseid:12?4*

注意：以上示例中涉及的符合全部是英文符号，且字母不区分大小写

官方文档介绍的要更加详细全面一些，有时间的话可以参考一下，链接如下：

转载于:https://my.oschina.net/u/3263645/blog/2961523