Elasticsearch 是一個基於 Lucene 構建的開源、分布式、提供 RESTful 接口的全文搜索引擎
一、Search頁面的各位置功能介紹:
1、日志搜索的時間范圍
為了使用方便,預設有幾個時段可供選擇。默認是最近5分鍾
也可以自己指定搜索查詢的具體的時間節點,以提高准確率
2、日志搜索時的自動更新頻率
如頁面所示:1、2、5、10、30秒和1、5分鍾。默認不自動更新。
3、搜索框
指定日志搜索時的關鍵字或條件表達式,可以是某個單獨的“關鍵字”或“指定某個字段的值”。可以使用“AND”、“OR”、“NOT”進行多條件查詢搜索。填寫完后直接回車或點擊“放大鏡”
4、日志搜索結果顯示的字段范圍以及內容
咱們這邊常用字段有:message、source、team、ztyq。 其中”team“是組名,表示該條日志信息屬於哪個組,”ztyq“表示該條日志信息屬於哪個項目。默認只顯示message和source,為了顯示全面所以需要手動把“team”和”ztyq“手動勾選上。
二、搜索查詢時的常用語法
一般在“搜索框”中進行日志搜索查詢時常用的語法如下:
1、模糊查詢:直接輸入 baseid
2、精確查詢:加引號 “baseid”
3、字段查詢: team:base 或 ztyq:base-web 其中 team 的值主要有 base、apply、supply、chengdu、xman ,由於 ztyq 的值比較多在此不一一列舉。
4、多字段查詢:ztyq:(base-service base-web)
5、多條件查詢:team:base AND ztyq:base-web OR source:192.168.0.4
6、正則匹配查詢:ztyq:base-web AND baseid:12?4*
注意:以上示例中涉及的符合全部是英文符號,且字母不區分大小寫
三、官方參考文檔
官方文檔介紹的要更加詳細全面一些,有時間的話可以參考一下,鏈接如下:
http://docs.graylog.org/en/2.3/pages/queries.html