SPL

搜索

搜索提供了功能强大、简单易用的方法来检索日志，可以快速过滤并找到相关的结果，搜索的五种方式包括范围查询、正则表达式、NOT/AND/OR布尔值、字段过滤及高级搜索。

五种强大的搜索方法

1. 范围查询：可快速发现满足一定条件参数的事件，例如检索Apache Web服务器响应时间大于200ms的事件。

2. 正则表达式：可以定义查询模版来简化你的搜索输入，假如你有一批名为app01-app99机器，如果你只想搜索前30台，你可以输入“/app[0-2][0-9]/” 来简化搜索输入。

3. AND/OR/NOT布尔值：利用AND、OR、NOT和( )的组合，您可以自由构造各种复杂的组合查询语句。

4. 字段过滤：字段过滤快速显示您所有结构化/半结构化特殊字段的统计聚合，点击其中的字段值进行过滤操作，可快速缩小事件的查询范围。

5. 高级搜索：运用transction、eval等命令进行关联分析等高级搜索。详情请参阅高级搜索

搜索组件

在进行搜索之前，请先了解日志易的几个重要概念。

一个搜索框核心由四个部分构成：

1. 日志分组

   日志数据的逻辑分组。搜索日志中的源数据必须通过上传日志中定义的主机名（hostname）、应用程序（appname）、标签（tag）进行组合定义。

2. 查询语句

   搜索框中的查询语句。

3. 时间范围

   使用下拉菜单快速挑选预设时间方案或设置一个自定义的时间范围。

4. 字段过滤

   使用字段过滤可以快速增加搜索条件

上述每一项都链接到一个章节单独详细描述，会针对日志易相关设置的每个参数深入剖析。

搜索策略比较

结构化 vs. 非结构化日志搜索

日志易支持结构化和非结构化日志。结构化日志如JSON，可自动解析日志中相关字段和对应值；对主流非结构化日志（如Apache日志）我们也实现了自动解析。日志被结构化解析后，您可以进行更深入详细的搜索查询及分析统计。对于日志中无法结构化的部分，日志易进行全文索引，您仍然可以进行全文检索。查询语法将在其后详细解释。

搜索查询 vs. 字段过滤

上面的示例图中，如果您选择直接在搜索框中输入搜索语句，则需要输入一长串由布尔运算符连接成的查询语句。我们建议您使用字段过滤功能来进一步缩小搜索范围，而不必更改查询语句。注意当保存搜索时字段过滤条件会一并保存。

统计视图

搜索的结果可通过可视化方式更清晰的展现并做统计分析，您可以分析随着时间的推移看到上传日志的趋势分布。更多信息请参阅统计视图。

搜索界面剖析

在使用搜索查询语言之前，让我们先大致了解一下搜索功能。您可以不用掌握复杂的搜索语句就可以从搜索界面得到大量信息。

1. 多TAB页工作区域

   在多任务处理情况下每个TAB标签页代表一次搜索的内容。我们的工作区可跨浏览器运行，会话状态将持续保存在后台，即使更换电脑也能打开最近一次搜索界面。单击TAB页可以更改页面名称，一旦标签页被删除则不能恢复。

2. 日志分组

   通过设置日志分组对日志数据源进行分类。每次搜索只能在一个日志分组中进行。

3. 搜索框

   在搜索框中输入您的搜索查询语句，点击搜索框右侧的标记可以看到搜索语法帮助，更多细节请参阅搜索语法。
   

4. 时间范围选择

   使用下拉菜单快速挑选预设时间范围或自行设置时间范围。

5. 字段过滤

   可在字段列表中选择过滤，使用字段过滤可以快速添加搜索条件以缩小检索范围。

6. 直方图和事件计数

   直方图显示随时间统计的日志事件数量。点击直方图的任何部分都可以选择那个时间段以查看选定时间范围内的事件。您也可以使用鼠标左键框选时间范围。

7. 字段列表

   字段列表默认采用二级菜单折叠方式，点击选择一个字段将显示该字段中出现次数最多的三百个值及其统计计数。使用鼠标滚定将依次显示所有的字段值和统计计数。日志易支持选择字段（单选或组合）再次过滤检索。

8. 事件视图、统计视图

   两种不同的搜索结果展现方式：事件视图显示搜索结果中日志数据的原始视图，可查看原始日志及抽取的字段；事件视图提供列表\表格两种模式，表格模式类似excel或数据库表格，显示您选择的特定字段及其对应值；统计视图模式可以为您创建不同展现方式的图表。