Použití Lucene Query Syntax
Pokud ukládáte data do Elasticsearch, musíte pro dotazování dat v TeskaLabs LogMan.io používat Lucene Query Syntax.
Zde jsou některé rychlé tipy pro použití Lucene Query Syntax, ale můžete také vidět úplnou dokumentaci na webové stránce Elasticsearch nebo navštívit tento tutoriál.
Lucene Query Syntax můžete použít při tvorbě dashboardů, filtrování dat v dashboardech a při hledání logů v Průzkumník.
Základní dotazové výrazy
Hledání pole message
s jakoukoli hodnotou:
message:*
Hledání hodnoty delivered
v poli message
:
message:delivered
Hledání fráze not delivered
v poli message
:
message:"not delivered"
Hledání jakékoli hodnoty v poli message
, ale NE hodnoty delivered
:
message:* -message:delivered
Hledání textu delivered
kdekoli ve hodnotě v poli message
:
message:delivered*
message:delivered
message:not delivered
message:delivered with delay
Note
Tento dotaz by nevrátil stejné výsledky, kdyby byl specifikovaný text (delivered
v tomto příkladu) pouze část slova nebo čísla, neoddělený mezerami nebo tečkami. Proto by dotaz message:eliv
například nevrátil tyto výsledky.
Hledání rozsahu hodnot od 1 do 1000 v poli user.id
:
user.id:[1 TO 1000]
Hledání otevřeného rozsahu hodnot od 1 a vyšší v poli user.id
:
user.id:[1 TO *]
Kombinování dotazových výrazů
Použijte booleovské operátory pro kombinování výrazů:
AND
- kombinuje kritéria
OR
- alespoň jedno z kritérií musí být splněno
Použití závorek
Použijte závorky, když je třeba seskupit více položek dohromady, aby vytvořily výraz.
Příklady seskupených výrazů:
Hledání logů z datasetu security
, buď s IP adresou obsahující 123.456
a message
jako failed login
, nebo s akcí události deny
a delay
větší než 10
:
event.dataset:security AND (ip.address:123.456* AND message:"failed login") OR
(event.action:deny AND delay:[10 TO *])
Hledání knihy v databázi knihovny napsané buď Karelem Čapkem nebo Lucií Lukačovičovou, která byla přeložena do angličtiny, nebo knihy v angličtině, která má alespoň 300 stran a žánr vědeckofantastický:
language:English AND (author:"Karel Čapek" OR author:"Lucie Lukačovičová") OR
(page.count:[300 TO *] AND genre:"science fiction")