Effectuer une recherche dans Graylog2

Publié pargraylog Laisser un commentaire sur Effectuer une recherche dans Graylog2

Voici quelques informations pratiques qui vous permettront d’utiliser le moteur de recherche de Graylog2 au maximum. La syntaxe utilisée pour la recherche est très proche de celle utilisée par Lucene.
Effectuer une recherche dans Graylog2
Pour rechercher les messages incluant le terme « ssh » :

ssh

Pour rechercher les messages incluant le terme « ssh » OU « login » :

ssh login

Pour rechercher les messages incluant le terme extact « ssh login » :

"ssh login"

Pour rechercher les messages incluant le terme « ssh » dans le champ type :

type:ssh

Pour rechercher les messages incluant le terme « ssh » OU « login » dans le champ type :

type:(ssh login)

Pour rechercher les messages incluant le terme exact « ssh login » dans le champ type :

type:"ssh login"

Pour rechercher les messages qui n’ont pas de champ type :

_missing_:type

Pour rechercher tous les messages qui ont le champ type :

_exists_:type

Il est possible de combiner les critères avec les opérateurs booléen OR et AND :

"ssh login" AND source:example.org

Il est possible de grouper les critères à l’aide des parenthèse :

"ssh login" AND (source:example.org OR source:graylog.fr)

Il est possible d’utiliser les métacaractères ? pour remplacer un seul caractère et * pour 0 ou plusieurs caractères

source:*.org
source:exam?le.org
source:exam?le.*

Il est possible d’effectuer des recherches de façon approximative sur l’orthographe des termes recherchés. La recherche utilise l’algorithme de distance de Damerau-Levenshtein avec une distance de 2 par défaut. Vous pouvez aussi configurer la distance pour des recherches plus complexes :

ssh logni~
source:exmaple.org~
source:exmaple.org~3

Il est possible d’effectuer des recherches sur des valeurs numériques. La valeur près de "[" est incluse, la valeur près de "}" est exclue :

http_response_code:[500 TO 504]
http_response_code:{400 TO 404}
bytes:{0 TO 64]
http_response_code:[0 TO 64}
http_response_code:>400
http_response_code:<400
http_response_code:>=400
http_response_code:<=400
http_response_code:(>=400 AND <500)

A noter que les caractères spéciaux ci-dessous sont à échapper avec une barre oblique inversée (backslash) :

&& || : \ / + - ! ( ) { } [ ] ^ " ~ * ?

Exemple :

resource:\/posts\/45326

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *