1 日志搜索的时间范围
为了使用方便,预设有几个时段可供选择。默认是最近5分钟
也可以自己指定搜索查询的具体的时间节点,以提高准确率
有延迟请使用最近15分钟
2 搜索查询时的常用语法
通配符:使用?替换单个字符 或*替换零个或多个字符
请注意,AND、OR 和 NOT 区分大小写,并且必须全部大写。
需要转义的字符:带反斜杆
& | : \ / + - ! ( ) { } [ ] ^ " ~ * ? 一般在“搜索框”中进行日志搜索查询时常用的语法如下:
字符串查询
#模糊查询 直接输入 hztest #包含hztest的日志 #精确查询:加引号 "hztest119" #确切包含hztest的日志 #字段查询: filebeat_collector_node_id:hztest119 其中filebeat_collector_node_id的值主要有 (test1 pro1 rc1 test2 pro2 rc2) (包含test为测试环境 pro生产 rc公测) #多字段查询: filebeat_collector_node_id:(it1 OR test2) #类型包括hzit109 和 hzit214的消息 #多条件查询: team:base AND ztyq:base-web OR source:192.168.0.4 #正则匹配查询: filebeat_collector_node_id:it* AND filebeat_level:err?r* AND message:*GetAppKeyFromReq* #注意: 以上示例中涉及的符合全部是英文符号,且字母不区分大小写 尽量不要使用前导通配符以避免过多的内存消耗 字段拆分 message里面的字段 拆分之后 前面会加上 filebeat_ 数字字段支持范围查询。方括号中的范围是包容性的,大括号是排斥性的,甚至可以组合:
http_response_code:[500 TO *] #查询状态码在500以上的 包含500 http_response_code:[500 TO 504] #查询状态码在500 - 504 之间 包含 500 504 http_response_code:{
400 TO 404} #查询状态码在400 - 404 之间 不包含 400 404 bytes:{
0 TO 64] http_response_code:[0 TO 64} http_response_code:>400 http_response_code:<400 http_response_code:>=400 http_response_code:<=400 http_response_code:(>=400 AND <500) timestamp:["2019-07-23 09:53:08.175" TO "2019-07-23 09:53:08.575"] 3 官方参考文档
https://archivedocs.graylog.org/en/latest/pages/searching/query_language.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/211890.html原文链接:https://javaforall.net
