參考文件 Official Searching Doc

searching_area

在開始之前可以將設定檔內的 allow_highlighting = true 打開,獲得螢光筆功能
Enabling/Disabling search result highlighting

enable_highlight

基礎搜尋語法 Syntax

Graylog 語法支援正規表示法 (RegEXP)

搜尋 Message 包含 ssh 的 log

1

ssh

搜尋 Message 包含 ssh 或 (OR) login 的 log

1

ssh login

搜尋 Message 包含 ssh<空格>login 的 log

1

"ssh login" 或者 'ssh login'

搜尋 Message 包含欄位名稱 (type) ssh 的 log

1

type:ssh

搜尋 Message 包含欄位名稱 (type) ssh 或 (OR) login 的 log
這邊注意!! 如果使用 Elasticsearch 6.x 版本,不可將 OR 替換成 <空白>

1

type:(ssh OR login)

搜尋 Message 包含正規表示法 (RegEXP) 的 log

1

/ethernet[0-9]+/

搜尋來源為 jumpserver 的所有 log

1

source:jumpserver

時間軸選擇區 Time fram selector

以事件發生時間限制搜尋結果 Time frame selector

時間軸分為三種:

1
2
3

1. Relative 相對時間
2. Absolute 絕對時間
3. keyword  關鍵字時間 (類似自然語言,後續會介紹)
  1. Relative 相對時間

不囉嗦直接上圖,一看就懂

Relative

  1. Absolute 絕對時間

一句話講完: 西元幾年幾月幾日幾點幾分 到 西元幾年幾月幾日幾點幾分

Absolute

  1. keyword 關鍵字時間

近似自然語言的方式,以下舉例:

  • last month 上個月
  • 4 hours age 四小時前
  • 1st of April to 2 days ago 四月一號到兩天前

Keyword