Graylog日志搜索技巧

        graylog搜索日志用的语法是Syntax接近Lucene，搜起来比较方便

Search query languagehttps://go2docs.graylog.org/4-0/making_sense_of_your_log_data/writing_search_queries.html?tocpath=Searching%20Your%20Log%20Data%7C_____1

1.Syntax 语法

1.1 基本匹配

        搜索包含字段xxx的日志

xxx

        搜索包含字段xxx或yyy的日志

 xxx yyy

        搜索包含短语xxx yyy的日志

“xxx yyy”

1.2 通配符

?替换单个字符

*替换零个或多个字符

        不要使用前导通配符，会导致过多内存消耗 

可以在Graylog 配置文件中启用，来禁止前导通配符

allow_leading_wildcard_searches = true 

1.3 模糊搜索

        模糊搜索（搜索类似的字段，容差大了会很慢）

xxx~

• 默认容差为2（错两个字符也能搜出来）

xxx~1

• 设置容差为1（如果错误两个字符就搜不出来了）

1.4 时间搜索

        搜索范围要在你选的时间范围之内

timestamp:["2023-12-25 09:53:08.175" TO "2023-12-25 09:58:08.575"]

        动态查询时间（h小时，d天）

timestamp:[now-5h TO now-4h]

注意：

        以下字符必须使用反斜杠转义：前面加\

& | : \ / + - ! ( ) { } [ ] ^ " ~ * ?

2.查找某条日志的周围日志

。。。