graylog查询语法

Posted Sicc1107

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了graylog查询语法相关的知识,希望对你有一定的参考价值。

1 日志搜索的时间范围

为了使用方便,预设有几个时段可供选择。默认是最近5分钟

也可以自己指定搜索查询的具体的时间节点,以提高准确率

有延迟请使用最近15分钟

2 搜索查询时的常用语法

**通配符:**使用?替换单个字符 或*替换零个或多个字符

请注意,AND、OR 和 NOT 区分大小写,并且必须全部大写。

需要转义的字符:带反斜杆

& | : \\ / + - ! ( )   [ ] ^ " ~ * ?

一般在“搜索框”中进行日志搜索查询时常用的语法如下:

字符串查询

#模糊查询 直接输入 
hztest                  #包含hztest的日志
#精确查询:加引号   
"hztest119"             #确切包含hztest的日志

#字段查询: 
filebeat_collector_node_id:hztest119

其中filebeat_collector_node_id的值主要有 (test1 pro1 rc1 test2 pro2 rc2)
(包含test为测试环境  pro生产 rc公测)

#多字段查询:
filebeat_collector_node_id:(it1 OR test2)         #类型包括hzit109 和 hzit214的消息
#多条件查询:
team:base AND ztyq:base-web OR source:192.168.0.4  
#正则匹配查询:
filebeat_collector_node_id:it* AND filebeat_level:err?r* AND message:*GetAppKeyFromReq*


#注意:
以上示例中涉及的符合全部是英文符号,且字母不区分大小写
尽量不要使用前导通配符以避免过多的内存消耗
字段拆分 message里面的字段 拆分之后 前面会加上 filebeat_

数字字段支持范围查询。方括号中的范围是包容性的,大括号是排斥性的,甚至可以组合:

http_response_code:[500 TO *]    #查询状态码在500以上的 包含500
http_response_code:[500 TO 504]  #查询状态码在500 - 504 之间 包含 500 504
http_response_code:400 TO 404  #查询状态码在400 - 404 之间 不包含 400 404
bytes:0 TO 64]
http_response_code:[0 TO 64

http_response_code:>400
http_response_code:<400
http_response_code:>=400
http_response_code:<=400

http_response_code:(>=400 AND <500)  

timestamp:["2019-07-23 09:53:08.175" TO "2019-07-23 09:53:08.575"]

3 官方参考文档

https://archivedocs.graylog.org/en/latest/pages/searching/query_language.html

以上是关于graylog查询语法的主要内容,如果未能解决你的问题,请参考以下文章

graylog查询语法

graylog+kafka+zookeeper(单机测试及源码),微服务日志查询使用(七)

CentOS 搭建Graylog集群详解

sh graylog查询

sh graylog查询

目标:不排斥 yaml 语法。争取快速上手