使用日志搜索

使用Insight Agent配置的任何资产都将以日志集的形式或资产(活动目必威体育app登录录、防火墙、服务器等)中来自单个源的多个日志的形式向InsightOps发送数据。InsightOps允许您以任何格式发送日志集，并将它们收集在一个地方，以方便您的搜索。

在日志搜索页面上，您可以选择日志集(Active Directory)或日志本身(AD帐户更新等)。

如何使用日志集?

以日志集的形式导入所有数据使您能够快速组织来自环境的大量数据流。使用日志集不仅可以了解数据从哪里来，还可以了解数据如何到达InsightOps，它要去哪里，它的质量以及它属于谁。一个日志并不专属于一个日志集，因此您可以看到跨设备使用的数据量。日志集提供了可视化趋势的上下文，允许您设置先发制人的警报，并设置标记以便于查找。

我如何搜索我的数据?

简单搜索:InsightOps有一个内置的查询生成器，可以帮助您创建搜索查询，称为日志条目查询语言(LEQL)。该语言由许多不同的查询语言组成，如正则表达式、JSON、键对值等。

高级搜索:如果您正在构建自己的搜索查询，您可以使用LEQL或单一语言。

看到高级及简单搜索查阅更详细的资料。

此外，你可以利用活尾和聚合尾功能;实时尾流将实时数据放到日志搜索页面上，聚合尾允许您查看来自分组日志集(如生产日志)的实时数据。

最后,视觉搜索允许您以不同的图表和时间段来查看数据。这在通过大量数据搜索趋势时尤其有用。

搜索的方法

以几种不同的方式构造查询来搜索您的数据。

• LEQL
• 关键字搜索
• 正则表达式
• JSON &千伏峰值

自动解析

insighttops将自动解析和索引支持的日志类型中的字段，使搜索更容易。支持的日志结构如下:

• Apache和Nginx结构
• JSON结构
• Syslog结构

保存的搜索

一旦创建查询并开始成功搜索数据，就可以使用insightssaved search功能。的保存按钮允许保存当前查询，而所有按钮允许您访问保存的搜索。

为了保存当前的日志搜索，您所要做的就是在输入有效的LEQL查询后单击saved按钮。现在，如果你或任何其他用户在相同的帐户点击所有按钮，则所有先前保存的搜索结果将显示。这对于保存最常用的查询非常有用。