Graylog日志搜索技巧

? ? ? ? graylog搜索日志用的语法是Syntax接近Lucene，搜起来比较方便

Search query languagehttps://go2docs.graylog.org/4-0/making_sense_of_your_log_data/writing_search_queries.html?tocpath=Searching%20Your%20Log%20Data|_____1

1.Syntax 语法

1.1 基本匹配

? ? ? ? 搜索包含字段xxx的日志

xxx

? ? ? ? 搜索包含字段xxx或yyy的日志

?xxx yyy

? ? ? ? 搜索包含短语xxx yyy的日志

“xxx yyy”

1.2 通配符

?替换单个字符

*替换零个或多个字符

????????不要使用前导通配符，会导致过多内存消耗?

可以在Graylog 配置文件中启用，来禁止前导通配符

allow_leading_wildcard_searches = true?

1.3 模糊搜索

? ? ? ? 模糊搜索（搜索类似的字段，容差大了会很慢）

xxx~

• 默认容差为2（错两个字符也能搜出来）

?

xxx~1

• 设置容差为1（如果错误两个字符就搜不出来了）

1.4 时间搜索

? ? ? ? 搜索范围要在你选的时间范围之内

timestamp:["2023-12-25 09:53:08.175" TO "2023-12-25 09:58:08.575"]

? ? ? ? 动态查询时间（h小时，d天）

timestamp:[now-5h TO now-4h]

注意：

????????以下字符必须使用反斜杠转义：前面加\

& | : \ / + - ! ( ) { } [ ] ^ " ~ * ?

。。。