graylog搜索日志用的语法是Syntax接近Lucene,搜起来比较方便
https://go2docs.graylog.org/4-0/making_sense_of_your_log_data/writing_search_queries.html?tocpath=Searching%20Your%20Log%20Data|_____11.Syntax 语法
1.1 基本匹配
搜索包含字段xxx的日志
xxx
搜索包含字段xxx或yyy的日志
xxx yyy
搜索包含短语xxx yyy的日志
"xxx yyy"
1.2 通配符
?替换单个字符
*替换零个或多个字符
不要使用前导通配符,会导致过多内存消耗
可以在Graylog 配置文件中启用,来禁止前导通配符
allow_leading_wildcard_searches = true
1.3 模糊搜索
模糊搜索(搜索类似的字段,容差大了会很慢)
xxx~
- 默认容差为2(错两个字符也能搜出来)
xxx~1
- 设置容差为1(如果错误两个字符就搜不出来了)
1.4 时间搜索
搜索范围要在你选的时间范围之内
timestamp:["2023-12-25 09:53:08.175" TO "2023-12-25 09:58:08.575"]
动态查询时间(h小时,d天)
timestamp:[now-5h TO now-4h]
注意:
以下字符必须使用反斜杠转义:前面加\
& | : \ / + - ! ( ) { } [ ] ^ " ~ * ?
。。。