基本搜寻
在Graylog主导航中 点击“ 搜索 ”,然后应该显示您对最近5分钟内收到的所有数据的分析。让我们看一下该页面的元素:
- 时间范围选择器:
选择要搜索的时间范围。单击蓝色按钮以选择时间范围类型。请注意,为获得最佳性能,应始终选择最短的合理时间范围。文档中提供了更多详细信息 - 搜索查询:
在此处输入搜索查询。您可以在文档中找到搜索查询语言的完整描述。如果要查找选定时间范围内的所有消息,则可以按Enter键而不输入任何内容,也可以*用作查询。 - 时间轴直方图:
时间轴直方图显示您在所选时间范围内每分钟/小时/天/周/月/季度/年发现了多少条消息。这是快速查看何时接收到多少消息的好方法。 - 消息: 搜索返回的消息。单击一条消息以将其展开。
- 消息字段: 搜索返回的消息中的所有字段的列表。单击字段旁边的复选框,以将该字段及其值包含在搜索结果表中。单击蓝色箭头以展开字段下钻选项。
- 字段钻取: 字段钻取分析方法使您可以更深入地挖掘字段值(在选定的时间范围内计算)。在文档中阅读有关它们的更多信息,
或遵循本指南中的用例示例。
例
让我们开始搜索过去15分钟内收到的所有内容,然后尝试找出哪些来源发送了最多的数据。
点击来源字段旁边的蓝色箭头,然后点击快速值按钮。这会将快速值分析结果加载到搜索结果之上。您可以看到,在过去15分钟内,源example.org发送了全部数据的64.31%,总共发送了16,815条消息。
源sundaysister(已启用syslog的设备的主机名)发送了35.66%的数据。让我们更深入地研究该源,找出发送了哪种数据。
搜索来自该特定来源(source:sundaysister)的所有消息,然后在设施字段上运行快速值分析。您可以看到,在过去15分钟内,来自此源的消息中有94.58%来自系统守护程序子系统(工具)。
让我们看第二个示例,尝试找出Web应用程序特定部分的响应时间。(这些结构消息可以使用GELF 或提取器实现。)
所述took_ms字段包括一个数字,表示它采取处理已记录的HTTP请求中的毫秒。该领域的统计数据显示您对字段值的统计信息(在这种情况下,最后2小时-看看时间范围选择)。
将生成的图表按钮将创建表示随着时间的字段值的图表。您可以看到,应用程序这一特定部分(controller:PostsController)的响应时间在最近2小时内没有太大变化。您还可以看到现场统计数据是准确的:标准偏差约为305ms,平均值为119ms。
参考: …
