搜索日志、如何搜索日志
EventLog Analyzer提供了专门的日志搜索功能,你可以搜索原始日志来发现网络异常,如:错误的配置、病毒、非法访问、应用错误等等。点击“搜索”标签。日志搜索栏如下:
选择具体的主机、主机组
把搜索范围限制到具体的主机或主机组。在文本框中输入或者通过“选择主机”链接选择。如果没有指定主机,就会在所有的主机日志中搜索。
选择日志类型
选择具体的搜索日志类型(例如:Windows事件日志、syslog、Oracle日志等),通过日志类型下拉菜单选择。如果没有指定类型,就会在所有类型的日志中搜索。
默认情况下,即你没有输入主机或主机组、并且选择默认的所有日志类型,那么你就可以搜索所有主机的所有类型的日志。
搜索类型
EventLog Analyzer支持“基本”和“高级”搜索。你可以使用通配符搜索、逻辑搜索、分组搜索和范围搜索。
基本搜索
如果你要手动输入你的搜索字符串(搜索条件),请选择“基本搜索”链接。
搜索字段值
在搜索框中直接输入搜索值。
搜索字段
在搜索框中直接输入字段名称和值。一对字段名称和值表达式为<字段名称> = <字段值>
例如:EVENTID = 529
高级搜索
通过交互式的搜索创建器来帮助你创建复杂的搜索表达式。请选择高级搜索链接。
设置搜索条件
你可以把搜索条件分组,每组可以有过个字段。字段之间和分组直接都可以使用逻辑操作符(AND/OR)来连接。
完成条件定义之后,点击应用按钮。
搜索框中显示刚刚定义的搜索表达式,点击执行按钮开始搜索。
搜索结果中包含结果图表以及所有符合条件的日志。结果图表只显示2周的数据。
说明:如果数据不足2周,那么只能显示现有天数的图表。
如何清除和保持查询?
清除搜索
“清除搜索”用来清除当前的搜索条件。
保存搜索
如果你需要搜索结果,那么点击“保存搜索”链接来保存搜索,相应的搜索结果就保存为报表配置文件。
更多示例——基本搜索
使用逻辑操作符
使用逻辑操作符表达式的格式为<字段名称> = <字段值> <逻辑符号> <字段名称> = <字段值>。可以使用的逻辑操作符有:AND、OR、NOT。
例如:HOSTNAME = 192.168.117.59 AND USERNAME = guest
使用比较操作符
使用比较操作符表达式的格式为<字段名称> <比较操作符> <字段值>。可以使用的比较操作符有:=、!=、>、<、>=、 <=。
例如:HOSTNAME != 192.168.117.59
使用通配符
使用通配符表达式的格式为<字段名称> = <部分字段值> <通配符>。可以使用的通配符有:?表示单个字符;表示多个字符。
例如:HOSTNAME = 192.
使用词组
使用词组表达式的格式为<字段名称> = <“部分字段值">。使用英文双引号("")在字段值中定义词组。
例如:MESSAGE = “session"
使用范围
使用范围表达式的格式为<字段名称> = [<起始值> TO <结束值>]。使用英文中括号[]来定义字段值的起始范围。
例如:USERNAME = [k To z]
使用字段分组
使用分组字段表达式的格式为(<字段名称> = <字段值> <逻辑操作符>.<字段名称> = <字段值>) <逻辑操作符>.<字段名称> = <字段值>。把字段使用英文小括号()进行逻辑分组。
例如:(SEVERITY = debug or FACILITY = user) and HOSTNAME = 192.168.117.59
原文地址:http://blog.51cto.com/13922960/2161104