Язык поисковых запросов в Graylog

Синтаксис языка поисковых запросов в Graylog

Синтаксис поиска очень близок к синтаксису Lucene. По умолчанию все поля сообщения включены в поиск, если вы не указали поле сообщения, в котором проводить поиск.

Сообщения, содержащие термин ssh:

ssh

Сообщения, содержащие термин ssh или login:

ssh login

Сообщения, содержащие точную фразу ssh login:

"ssh login"

Сообщения, в которых поле type содержит ssh:

type:ssh

Сообщения, в которых поле type включает в себя ssh или login:

type:(ssh login)

Сообщения, в которых поле type содержит точную фразу ssh login:

type:"ssh login"

Сообщения с полем type:

_exists_:type

Сообщения, которые не имеют поля type:

NOT _exists_:type

Сообщения, которые соответствуют регулярному выражению ethernet[0-9]+ в поле type

type:/ethernet[0-9]+/

По умолчанию все термины или фразы в поисковом запросе связаны между собой по логическому типу OR (ИЛИ), поэтому возвращаются все сообщения, имеющие хотя бы одно попадание. Можно использовать использовать Булевы операторы и группы для поиска:

"ssh login" AND source:example.org

("ssh login" AND (source:example.org 
                  OR source:another.example.org)) 
OR _exists_:always_find_me

Вы также можете использовать оператор NOT:

"ssh login" AND NOT source:example.org
NOT example.org

Обратите внимание, что AND, OR и NOT чувствительны к регистру и должны вводиться только в верхнем регистре.


Подстановочные знаки (wildcards)

Используйте ?, чтобы заменить один символ, или *, чтобы заменить ноль или более символов:

source:*.org
source:exam?le.org
source:exam?le.*

Обратите внимание, что ведущие символы подстановки (то есть использование символа подстановки с начала поискового запроса) отключены во избежание чрезмерного потребления памяти! Их можно включить в конфигурационном файле Graylog:

allow_leading_wildcard_searches = true

Также обратите внимание, что message, full_message и source - единственные поля, которые анализируются по умолчанию. Хотя поиск по шаблону (с использованием * и ?) работает со всеми индексированными полями, анализируемые поля будут вести себя немного иначе.

Нечеткость

Вы можете искать похожие термины:

ssh logni~
source:exmaple.org~

В этом примере используется расстояние Дамерау–Левенштейна со значением расстояния по умолчанию равным 2 и будет соответствовать «ssh login» и «example.org» (намеренно написано с ошибкой в ​​запросе).

Вы можете изменить расстояние следующим образом:

source:exmaple.org~1

Вы также можете использовать оператор нечеткости, чтобы выполнить поиск близости, где термины в фразе могут иметь разные/нечеткие расстояния друг от друга и не должны быть в определенном порядке:

"foo bar"~5

Числовые поля поддерживают диапазонные запросы (range queries). Диапазоны в квадратных скобках проводят поиск включительно (то есть производят поиск включая указанные крайние значения), диапазоны в фигурных скобках проводят поиск исключительно (то есть производят поиск не включая указанные крайние значения) и могут даже быть объединенным:

http_response_code:[500 TO 504]
http_response_code:{400 TO 404}
bytes:{0 TO 64]
http_response_code:[0 TO 64}

Вы также можете выполнять поиск с одной стороны без ограничений:

http_response_code:>400
http_response_code:<400
http_response_code:>=400
http_response_code:<=400

Также возможно комбинировать операторы неограниченного диапазона:

http_response_code:(>=400 AND <500)

Экранирование (escaping)

Следующие символы должны быть экранированы обратным слэшем:

&& || : \ / + - ! ( ) { } [ ] ^ " ~ * ?

Пример: 

resource:\/posts\/45326

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Хэш-таблица: разрешение коллизий

Изображение
Хэш-коллизии практически неизбежны при хэшировании случайного подмножества большого набора возможных ключей. Например, если 2450 ключей хэшируются в миллион корзин (buckets), даже при совершенно равномерном случайном распределении, в соответствии с проблемой дня рождения, существует приблизительно 95% вероятность того, что по крайней мере два ключа будут хэшированы в один и тот же слот. Поэтому почти все реализации хэш-таблиц имеют некоторую стратегию разрешения коллизий для обработки таких событий. Некоторые общие стратегии описаны ниже. Все эти методы требуют, чтобы ключи (или указатели на них) были сохранены в таблице вместе со связанными значениями. Отдельная цепочка В методе, известном как отдельная цепочка , каждая корзина (bucket) независима и имеет своего рода список записей с одинаковым индексом. Время для операций с хэш-таблицами - это время нахождения корзины (bucket) (которое является постоянным) плюс время для операции со списком. В хорошей хэш-таблице каждая корзина (
Далее...

Нормальные формы, пример нормализации в базе данных

Изображение
Кодд представил концепцию нормализации и то, что сейчас известно как первая нормальная форма (1NF) в 1970 году. Кодд продолжал определять вторую нормальную форму (2NF) и третью нормальную форму (3NF) в 1971 году, также Кодд и Рэймонд Ф. Бойс определили нормальную форму Бойса-Кодда (BCNF) в 1974 году. Неформально отношение реляционной базы данных часто описывается как "нормализованное", если оно соответствует третьей нормальной форме. Большинство отношений 3NF не содержат аномалий вставки, обновления и удаления. Нормальные формы (от наименее нормализованных до наиболее нормализованных): UNF: ненормализованная форма 1NF: первая нормальная форма 2NF: вторая нормальная форма 3NF: третья нормальная форма EKNF: Элементарный ключ, нормальная форма BCNF: нормальная форма Бойса-Кодда 4NF: четвертая нормальная форма ETNF: нормальная форма основного кортежа 5NF: пятая нормальная форма DKNF: нормальная форма ключа домена 6NF: шестая нормальная форма UNF (1970) 1NF (1
Далее...