搜索日誌、如何搜索日誌
阿新 • • 發佈:2018-08-17
說明 搜索字符串 sha 引號 字符串 字段表 nag 文件 fff 搜索日誌、如何搜索日誌
EventLog Analyzer提供了專門的日誌搜索功能,你可以搜索原始日誌來發現網絡異常,如:錯誤的配置、病毒、非法訪問、應用錯誤等等。點擊“搜索”標簽。日誌搜索欄如下:
選擇具體的主機、主機組
把搜索範圍限制到具體的主機或主機組。在文本框中輸入或者通過“選擇主機”鏈接選擇。如果沒有指定主機,就會在所有的主機日誌中搜索。
選擇日誌類型
選擇具體的搜索日誌類型(例如:Windows事件日誌、syslog、Oracle日誌等),通過日誌類型下拉菜單選擇。如果沒有指定類型,就會在所有類型的日誌中搜索。
默認情況下,即你沒有輸入主機或主機組、並且選擇默認的所有日誌類型,那麽你就可以搜索所有主機的所有類型的日誌。
搜索類型
EventLog Analyzer支持“基本”和“高級”搜索。你可以使用通配符搜索、邏輯搜索、分組搜索和範圍搜索。
基本搜索
如果你要手動輸入你的搜索字符串(搜索條件),請選擇“基本搜索”鏈接。
搜索字段值
在搜索框中直接輸入搜索值。
搜索字段
在搜索框中直接輸入字段名稱和值。一對字段名稱和值表達式為<字段名稱> = <字段值>
例如:EVENTID = 529
高級搜索
通過交互式的搜索創建器來幫助你創建復雜的搜索表達式。請選擇高級搜索鏈接。
設置搜索條件
你可以把搜索條件分組,每組可以有過個字段。字段之間和分組直接都可以使用邏輯操作符(AND/OR)來連接。
完成條件定義之後,點擊應用按鈕。
搜索框中顯示剛剛定義的搜索表達式,點擊執行按鈕開始搜索。
搜索結果中包含結果圖表以及所有符合條件的日誌。結果圖表只顯示2周的數據。
說明:如果數據不足2周,那麽只能顯示現有天數的圖表。
如何清除和保持查詢?
清除搜索
“清除搜索”用來清除當前的搜索條件。
保存搜索
如果你需要搜索結果,那麽點擊“保存搜索”鏈接來保存搜索,相應的搜索結果就保存為報表配置文件。
使用比較操作符
使用比較操作符表達式的格式為<字段名稱> <比較操作符> <字段值>。可以使用的比較操作符有:=、!=、>、<、>=、 <=。
例如:HOSTNAME != 192.168.117.59
使用通配符
使用通配符表達式的格式為<字段名稱> = <部分字段值> <通配符>。可以使用的通配符有:?表示單個字符;表示多個字符。
例如:HOSTNAME = 192.
使用詞組
使用詞組表達式的格式為<字段名稱> = <“部分字段值">。使用英文雙引號("")在字段值中定義詞組。
例如:MESSAGE = “session"
使用範圍
使用範圍表達式的格式為<字段名稱> = [<起始值> TO <結束值>]。使用英文中括號[]來定義字段值的起始範圍。
例如:USERNAME = [k To z]
使用字段分組
使用分組字段表達式的格式為(<字段名稱> = <字段值> <邏輯操作符>.<字段名稱> = <字段值>) <邏輯操作符>.<字段名稱> = <字段值>。把字段使用英文小括號()進行邏輯分組。
例如:(SEVERITY = debug or FACILITY = user) and HOSTNAME = 192.168.117.59
EventLog Analyzer提供了專門的日誌搜索功能,你可以搜索原始日誌來發現網絡異常,如:錯誤的配置、病毒、非法訪問、應用錯誤等等。點擊“搜索”標簽。日誌搜索欄如下:
選擇具體的主機、主機組
把搜索範圍限制到具體的主機或主機組。在文本框中輸入或者通過“選擇主機”鏈接選擇。如果沒有指定主機,就會在所有的主機日誌中搜索。
選擇日誌類型
選擇具體的搜索日誌類型(例如:Windows事件日誌、syslog、Oracle日誌等),通過日誌類型下拉菜單選擇。如果沒有指定類型,就會在所有類型的日誌中搜索。
默認情況下,即你沒有輸入主機或主機組、並且選擇默認的所有日誌類型,那麽你就可以搜索所有主機的所有類型的日誌。
EventLog Analyzer支持“基本”和“高級”搜索。你可以使用通配符搜索、邏輯搜索、分組搜索和範圍搜索。
基本搜索
如果你要手動輸入你的搜索字符串(搜索條件),請選擇“基本搜索”鏈接。
搜索字段值
在搜索框中直接輸入搜索值。
搜索字段
在搜索框中直接輸入字段名稱和值。一對字段名稱和值表達式為<字段名稱> = <字段值>
例如:EVENTID = 529
高級搜索
通過交互式的搜索創建器來幫助你創建復雜的搜索表達式。請選擇高級搜索鏈接。
設置搜索條件
你可以把搜索條件分組,每組可以有過個字段。字段之間和分組直接都可以使用邏輯操作符(AND/OR)來連接。
完成條件定義之後,點擊應用按鈕。
搜索結果中包含結果圖表以及所有符合條件的日誌。結果圖表只顯示2周的數據。
說明:如果數據不足2周,那麽只能顯示現有天數的圖表。
如何清除和保持查詢?
清除搜索
“清除搜索”用來清除當前的搜索條件。
保存搜索
如果你需要搜索結果,那麽點擊“保存搜索”鏈接來保存搜索,相應的搜索結果就保存為報表配置文件。
更多示例——基本搜索
使用邏輯操作符
使用邏輯操作符表達式的格式為<字段名稱> = <字段值> <邏輯符號> <字段名稱> = <字段值>。可以使用的邏輯操作符有:AND、OR、NOT。
例如:HOSTNAME = 192.168.117.59 AND USERNAME = guest
使用比較操作符
使用比較操作符表達式的格式為<字段名稱> <比較操作符> <字段值>。可以使用的比較操作符有:=、!=、>、<、>=、 <=。
例如:HOSTNAME != 192.168.117.59
使用通配符
使用通配符表達式的格式為<字段名稱> = <部分字段值> <通配符>。可以使用的通配符有:?表示單個字符;表示多個字符。
例如:HOSTNAME = 192.
使用詞組
使用詞組表達式的格式為<字段名稱> = <“部分字段值">。使用英文雙引號("")在字段值中定義詞組。
例如:MESSAGE = “session"
使用範圍
使用範圍表達式的格式為<字段名稱> = [<起始值> TO <結束值>]。使用英文中括號[]來定義字段值的起始範圍。
例如:USERNAME = [k To z]
使用字段分組
使用分組字段表達式的格式為(<字段名稱> = <字段值> <邏輯操作符>.<字段名稱> = <字段值>) <邏輯操作符>.<字段名稱> = <字段值>。把字段使用英文小括號()進行邏輯分組。
例如:(SEVERITY = debug or FACILITY = user) and HOSTNAME = 192.168.117.59
搜索日誌、如何搜索日誌