可以在浏览日志页面中搜索和筛选日志事件。
要仅查找包含指定关键字的事件,请在搜索文本框中输入任何完整的关键字、通配符匹配操作符或短语,然后单击搜索。
可以在 Web 用户界面中的仪表板或浏览日志页面上指定时间范围。筛选时包含时间范围。
可以搜索与特定字段的特定值匹配的日志事件。在主搜索字段中使用引用文本将匹配确切的短语。在主搜索字段中输入空格表示逻辑 AND 运算符。搜索仅使用完整的令牌。例如,搜索“err”时不会将“error”作为匹配项。
注: 载入事件的字段名称必须仅以字母或下划线字符开头,并且只能包含字母、数字或下划线字符。
可以通过使用日志事件列表上方的下拉菜单和文本框来输入字段搜索条件或筛选器。
在单行筛选器内,可以使用逗号分隔值列出 OR 筛选器。例如,选择
hostname
contains,并键入
127.0.0.1, 127.0.0.2。搜索将返回包含主机名 127.0.0.1 或 127.0.0.2 的事件。
注:
文本包含筛选器将每个逗号分隔的值视为一个完整关键字。
无法处理且不应使用包含使用内部查询语言语法名称(如 from 或 in)的字段的查询。
可以通过为每个字段创建一个筛选器行来组合多个字段筛选器。可以切换应用于多行筛选器的运算符。
- 要应用 AND 运算符,请选择全部。
- 要应用 OR 运算符,请选择任意。
注: 无论切换值是什么,单行筛选器内逗号分隔值的运算符始终为 OR,除非使用
_index 字段。对于
_index 字段,运算符为 AND。
可以在搜索词中使用通配符匹配操作符。例如,vm* 或 vmw?re。
- 对于 0 个或多个字符,请使用 *。
- 对于一个字符,请使用 ?。
注: 不能将通配符匹配操作符用作搜索词的第一个字符。例如,可以在筛选查询中使用 192.168.0.*,但不能使用 *.168.0.0。