1. 首页首页

graylog查询语法[通俗易懂]

阅读 42

大家好,我是知秋君,一个会写博客吟诗的知秋码农。今天说一说graylog查询语法[通俗易懂],希望能够帮助大家进步!!! 1 日志搜索的时间范围 为了使用方便,预设有几个时段可供选择。默认是最近5分钟 也可以自己指定搜索查询的具体的时间节点,以提高准确率 有延迟请使用最近15分钟 2 搜索查询时的常用语法 **通配符:**使用?替换单个字符 或*替换零个或多个字符 请注意,AND、OR 和

大家好,我是知秋君,一个会写博客吟诗的知秋码农。今天说一说graylog查询语法[通俗易懂],希望能够帮助大家进步!!!

1 日志搜索的时间范围

为了使用方便,预设有几个时段可供选择。默认是最近5分钟

也可以自己指定搜索查询的具体的时间节点,以提高准确率

有延迟请使用最近15分钟

2 搜索查询时的常用语法

**通配符:**使用?替换单个字符 或*替换零个或多个字符

请注意,AND、OR 和 NOT 区分大小写,并且必须全部大写。

需要转义的字符:带反斜杆

& | : \ / + - ! ( ) { } [ ] ^ " ~ * ?
只听到从知秋君办公室传来知秋君的声音:

嗟我怀人,寘彼周行。有谁来对上联或下联?

一般在“搜索框”中进行日志搜索查询时常用的语法如下:

字符串查询

此代码由一叶知秋网-知秋君整理
#模糊查询 直接输入  hztest #包含hztest的日志 #精确查询:加引号  "hztest119" #确切包含hztest的日志 #字段查询:  filebeat_collector_node_id:hztest119 其中filebeat_collector_node_id的值主要有 (test1 pro1 rc1 test2 pro2 rc2) (包含test为测试环境 pro生产 rc公测) #多字段查询: filebeat_collector_node_id:(it1 OR test2) #类型包括hzit109 和 hzit214的消息 #多条件查询: team:base AND ztyq:base-web OR source:192.168.0.4 #正则匹配查询: filebeat_collector_node_id:it* AND filebeat_level:err?r* AND message:*GetAppKeyFromReq* #注意: 以上示例中涉及的符合全部是英文符号,且字母不区分大小写 尽量不要使用前导通配符以避免过多的内存消耗 字段拆分 message里面的字段 拆分之后 前面会加上 filebeat_

数字字段支持范围查询。方括号中的范围是包容性的,大括号是排斥性的,甚至可以组合:

http_response_code:[500 TO *] #查询状态码在500以上的 包含500 http_response_code:[500 TO 504] #查询状态码在500 - 504 之间 包含 500 504 http_response_code:{ 
400 TO 404} #查询状态码在400 - 404 之间 不包含 400 404 bytes:{ 
0 TO 64] http_response_code:[0 TO 64} http_response_code:>400 http_response_code:<400 http_response_code:>=400 http_response_code:<=400 http_response_code:(>=400 AND <500) timestamp:["2019-07-23 09:53:08.175" TO "2019-07-23 09:53:08.575"]

3 官方参考文档

https://archivedocs.graylog.org/en/latest/pages/searching/query_language.html

知秋君
知秋君

知秋君

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请关注公众号“全栈程序员社区”联系小编举报,一经查实,本站将立刻删除。
上一篇 2024-07-03 15:31
下一篇 2024-07-03 15:31

相关推荐