构建查询据span title="Copy link to clipboard">
InsightIdr允许用户搜索其数据的不同方式,包括Regex,String,KeyValue或关键字搜索。本文档将解释在InsightIdr中搜索操作的基础知识。据/p>
日志条目查询语言(LEQL)据span title="Copy link to clipboard">
我们强大的搜索语言Log Entry Query language (LEQL)允许您构造查询,提取日志中的隐藏数据。据/p>
LEQL遵循sql风格的语法,构造查询简单而直观。每次搜索都必须以据code class="prism-code language-text">在()据/span>声明。然后,您可以插入您的查询据code class="prism-code language-text">在()据/span>声明。如果不使用LEQL搜索日志,请使用LEQL查询栏的simple模式。据/p>
LEQL查询栏有三种模式。简单模式允许您通过使用鼠标选择所需的函数和键来构建查询。据/p>
高级模式允许您使用据a href="//www.gcpym.com/insightidr/use-a-search-language">搜索语言据/a>.有经验的用户可能会更快地发现这种模式,但是语法很严格,您必须记住可用的不同分析函数。据/p>
你可以按据strong>钥匙据/strong>当文本框为空时,要查看和加载样本查询。据/p>
通过单击查询栏左侧的模式切换器,可以在简单模式和高级模式之间进行切换。如果您发现自己处于高级模式,查询无效,系统将阻止您返回简单模式。若要返回简单模式,请删除查询或修复语法错误。据/p>
如果您需要帮助编写查询,您可以根据提供的提供重新创建查询据a href="//www.gcpym.com/insightidr/example-queries">示例查询据/a>.据/p>
学习如何使用据a href="//www.gcpym.com/insightidr/use-visual-search">视觉搜索据/a>可视化您的数据。据/p>
如果要返回查询,请使用据strong>保存据/strong>单击查询栏右侧的。据/p>
要查看保存的搜索和查询,请选择据strong>疑问据/strong>下拉菜单位于查询栏的左侧。据/p>
可以根据需要编辑这些搜索,选择据strong>铅笔据/strong>图标,或者您可以使用据strong>垃圾据/strong>图标。据/p>
您可以使用逻辑操作符和比较操作符来创建更复杂的搜索。下面的指南将介绍在构造查询时可用的两组操作符。据/p>
可以使用以下逻辑运算符创建综合搜索条件。请注意,当构造一个搜索查询时,所有操作符都应该是大写的。据/p>
逻辑运营商据/p> 例子据/p> 描述据/p> “和”据/p> expr1和expr2据/p> 返回与两个条件匹配的日志事件据/p> ”或“据/p> expr1或expr2据/p> 返回符合一个或两个条件的日志事件据/p> “不是”据/p> Expr1不是Expr2.据/p> 返回与Expr1匹配但不是Expr2的日志事件据/p> 比较运算符可以用于KVP搜索和正则表达式搜索。据/p>
比较运算符据/p> 例子据/p> 描述据/p> 凯亚•= = KeyB据/p> 返回键值相同的日志事件。使用此操作员比较键。您可以比较字符串或数字值。据/p> keya!==键据/p> 返回键值不相同的日志事件。您可以输入字符串或数值。据/p> keya = 3.据/p> 返回键等于特定值的日志事件。使用这个来比较键。您可以输入数字或字符串值。据/p> 凯亚•据keyb or="" keya="">
3.据/keyb> 返回小于指定值的日志事件。您可以输入数值或密钥。据/p> 凯亚•< = KeyB或KeyA < = 3据/p> 返回小于或等于指定值的日志事件。您可以输入数值或键。据/p> 凯亚•> KeyB或KeyA > 3据/p> 返回大于指定值的日志事件。您可以输入数值或键。据/p> 数值必须格式化为整数、浮点值或科学记数法才能正确识别。单元不作为比较的一部分计算。例如,搜索值<100bytes将不会返回值=200bits的结果。据/p>
简单模式据span title="Copy link to clipboard">
高级模式据span title="Copy link to clipboard">
视觉模式据span title="Copy link to clipboard">
已保存的搜索和查询据span title="Copy link to clipboard">
运营商据span title="Copy link to clipboard">
逻辑运算符据span title="Copy link to clipboard">
比较运算符据span title="Copy link to clipboard">
==据/span>
= = !据/span>
=据/span>
据据/span>
<=据/span>
>据/span>
格式的数值据span title="Copy link to clipboard">