Oracle Cloud Infrastructure-Dokumentation

Abfragesuche

Mit Oracle Logging Analytics können Sie große Mengen an Logdaten in allen Unternehmensdatenbanken filtern und analysieren. Dazu erhalten Sie eine zentrale, einheitliche und anpassbare Anzeige, die einfach zu lesen und zu navigieren ist. Mit dem integrierten Suchfeature können Sie alle verfügbaren Logdaten filtern und bestimmte Logeinträge zurückgeben.

Mit der Oracle Logging Analytics-Suche können Sie einen Drilldown zu bestimmten Protokolleinträgen ausführen, um gezielte Analyse und Überwachung im gesamten Unternehmen zu ermöglichen. Verwenden Sie die Oracle Logging Analytics-Abfragesprache, um Suchabfragen zu formulieren. Dadurch werden Logeinträge für das jeweilige Problem abgerufen, das Sie beheben möchten.

Mit der Abfragesprache für die Analyse der Logs können Sie angeben, welche Aktion mit den Suchergebnissen ausgeführt werden soll. Bei den Befehlen kann es sich entweder um Suchbefehle oder um statistische Befehle handeln. Suchbefehle sind die Befehle, mit denen die verfügbaren Logeinträge weiter gefiltert werden. Statistische Befehle führen statistische Vorgänge für die Suchergebnisse aus. Eine vollständige Liste der Befehle, deren Syntax und Beispiele zu ihrer Verwendung finden Sie in Command Reference.

Mit der Oracle Logging Analytics-Abfragesprache können Sie:

  • Alle verfügbaren Logdaten filtern und explorieren

  • Ursachenanalysen ausführen

  • Statistische Analysen für ausgewählte Entitys ausführen

  • Berichte generieren

  • Suchabfragen zur späteren Verwendung speichern

  • Gespeicherte Suchvorgänge zum Erstellen von Dashboards abrufen

Sie können eine Suchabfrage erstellen, indem Sie entweder Elemente aus dem Bereich Feld per Drag-and-Drop in die entsprechenden Abschnitte in der Spalte Visualisieren ziehen oder die Abfrage direkt in das Feld Suchen eingeben. Weitere Informationen zur Verwendung der Benutzeroberfläche zum Formulieren von Abfragen finden Sie unter Abfragen mit der Logging Analytics-UI formulieren.

Informationen zum Schreiben von performanten Abfragen mit dem Befehl regex finden Sie in der Syntax RE2J unter Java Implementation of RE2.

Assistent "Abfragehilfe" verwenden

Logging Analytics bietet Ihnen jetzt aktive Hilfe, um schnell zu lernen, Abfragen zu schreiben, und bietet auch eine große Anzahl von Beispielabfragen für erweiterte Analysen.

Klicken Sie im Log Explorer auf das Hilfesymbol Symbol "Abfragehilfe" neben der Abfrageleiste, um den Assistenten für die Abfragehilfe zu öffnen. Innerhalb weniger Minuten können Sie das Format und die Syntax der Abfragen verstehen, die Sie erstellen können. Führen Sie die Beispielabfragen aus, angefangen bei der sehr einfachen Suche bis hin zur erweiterten Analyse, und machen Sie sich mit der Abfragereferenz vertraut. Der Assistent gibt Ihnen einige Tipps und Tastenkombinationen, um Ihre Suche effizient zu gestalten. Sie können auch das Ergebnis der Ausführung einiger gängiger Befehle für ihre typischen Anwendungsfälle anzeigen.

Themen:

Siehe auch Logs nach Hashmaske filtern.

Logs mit Schlüsselwörtern und Wortgruppen durchsuchen

Mit Befehlen können Sie Logdaten abrufen und diese Daten bearbeiten. Der erste (und implizite) Befehl in einer Abfrage ist der Suchbefehl. Eine Suche ist eine Reihe von Befehlen, die durch ein Pipe-Zeichen (|) getrennt sind. Die erste an ein Leerzeichen angehängte Zeichenfolge nach dem Pipe-Zeichen gibt den zu verwendenden Befehl an. Das Pipe-Zeichen gibt an, dass die Ergebnisse aus dem vorherigen Befehl als Eingabe für den nächsten Befehl verwendet werden sollen.

Beispiel: Um nach allen Datenbankfehlermeldungen zu suchen, geben Sie den folgenden logischen Ausdruck in der Suchleiste von Oracle Logging Analytics ein: 

Severity = 'error' AND 'Entity Type' = 'Database Instance'

Wenn Sie die Wörter in Anführungszeichen setzen und als Wortgruppe in die Abfragezeichenfolge aufnehmen (z.B. ‘Database Instance’), werden nur die Logs zurückgegeben, die die Wortgruppe ‘Database Instance’ enthalten. Außerdem muss jede Schlüsselwortsuche, bei der die Teilzeichenfolge als separate Direktive interpretiert werden könnte, in Anführungszeichen gesetzt sein. Beispiel: Um nach der Zeichenfolge and zu suchen, müssen Sie die Zeichenfolge in einfache Anführungszeichen (‘and’) setzen, um zu verhindern, dass das System die boolesche Bedeutung verwendet.

Weitere Beispiele und Details zur Verwendung der Abfragesprache zum Durchsuchen der Logs finden Sie unter Suchabfragen schreiben.

Letzte Suchvorgänge auflisten

Mit Oracle Logging Analytics können Sie eine zuletzt verwendete Suche auswählen und ausführen. Wenn Sie auf das Feld "Suchen" klicken oder Text in das Feld "Suchen" eingeben, zeigt Oracle Logging Analytics eine Liste der zuletzt verwendeten Suchvorgänge in der Liste an. Auf diese Weise können Sie schnell auf die zuletzt verwendeten Suchbefehle zugreifen. Sie können einen der aufgeführten Befehle auswählen und auf Ausführen klicken, um den ausgewählten Suchbefehl auszuführen.

Hinweis

Die Liste der zuletzt verwendeten Suchvorgänge basiert auf der jeweiligen Session. Wenn Sie sich also von Oracle Logging Analytics abmelden und dann erneut anmelden, wird die Liste der vorherigen Session nicht angezeigt. Eine neue Liste der letzten Suchvorgänge wird für Ihre Session erstellt.

Feature für automatische Vorschläge verwenden

Wenn Sie eine Abfrage in das Feld Suchen eingeben, werden mit dem Feature für automatische Vorschläge von Oracle Logging Analytics automatisch Begriffe vorgeschlagen, die Sie in der Abfrage verwenden können. Oracle Logging Analytics zeigt eine Liste mit Vorschlägen basierend auf dem Text an, den Sie im Feld Suchen eingegeben haben. Beispiel: Wenn Sie den Namen eines Feldes oder eine Suchaktion eingegeben haben, werden die möglichen Werte nur für dieses Feld oder die Liste der verfügbaren Aktionen angezeigt.

Suchabfragen schreiben

Sie können zum Erstellen einer Oracle Logging Analytics-Suchabfrage Entitys, Schlüsselwörter, Wortgruppen oder Platzhalter, Vergleichsoperatoren, boolesche Ausdrücke, Funktionen und Zeit angeben.

Um das Feature "Suchen" in Oracle Logging Analytics verwenden zu können, müssen Sie eine Suchabfrage erstellen und in das Feld Suchen eingeben.

Themen:

Weitere Informationen finden Sie unter Log Explorer-URL-Parameter.

Logging Analytics-UI verwenden

Sie können Suchabfragen mit der Benutzeroberfläche von Oracle Logging Analytics formulieren.

Mit den folgenden Elementen der UI können Sie Suchabfragen formulieren:

  • Suchleiste: Hier wird die Suchabfrage angezeigt. Sie können den Text in diesem Feld direkt bearbeiten, um die Suchergebnisse weiter einzugrenzen.

    Die Suchleiste wird entsprechend der Anzahl der Zeilen, die der Abfrage hinzugefügt wurden, vergrößert oder verkleinert. Sie enthält maximal 21 Zeilen und mindestens 1 Zeile. Einige der verfügbaren benutzerdefinierten Shortcuts:

    • STRG + i: Jede Textzeile im Editor einrücken. Beachten Sie, dass mit der Option I in Großbuchstaben der Debugger geöffnet wird.
    • STRG + Eingabetaste: Im Editor angezeigte Abfrage ausführen
    • STRG + Leertaste: Liste der Autovervollständigungsoptionen basierend auf der Cursorposition anzeigen
    • STRG + Z: Letzte Bearbeitung rückgängig machen
    • STRG + Y: Letzte Bearbeitung wiederholen
    • STRG + D: Aktuelle Zeile löschen

    Hinweis: Verwenden Sie die SHIFT-Taste nur, wenn angegeben.

    Positionieren Sie den Cursor in den öffnenden oder schließenden Klammern, um das übereinstimmende Element hervorzuheben. Die Elemente ( ) und [ ] können hervorgehoben werden.

    Die Suchleiste unterstützt zwei verschiedene Themes: Farbe und Graustufen. Sie können die Themes dynamisch ändern, indem Sie die Option im Hilfe-Popup-Fenster ändern.

  • Feld: Der Bereich Feld ist in die folgenden Abschnitte unterteilt:

    • Mit den Attributen unter Gepinnt können Sie Logdaten auf folgender Basis filtern:

      • Logquellen, wie Datenbanklogs, Oracle WebLogic Server-Logs usw.

      • Logentitys (die eigentlichen Logdateinamen).

      • Labels. Hierbei handelt es sich um Tags, die Logeinträgen hinzugefügt werden, wenn Logeinträge bestimmten definierten Bedingungen entsprechen.

      • Uploadnamen von bei Bedarf hochgeladenen Logdaten.

      Standardmäßig sind die Entitys und Collection-Details im Bucket "Gepinnt" des Bereichs Felder zum Filtern verfügbar. Sie können je nach Verwendung zusätzliche Felder im Bucket "Gepinnt" pinnen. Nach dem Pinnen werden die Felder in den Bucket "Gepinnt" verschoben. Sie können jedes gepinnte Feld trennen und aus dem Bucket "Gepinnt" entfernen und es wieder in den Bucket "Interessant" oder "Sonstige" verschieben.

    • Basierend auf Ihrer Suche und Ihren Abfragen fügt Oracle Log Analytics automatisch Felder zum Bucket Interessant zur Schnellreferenz hinzu. Sie können ein Feld pinnen, das im Bucket "Interessant" verfügbar ist. Das gepinnte Feld wird dann in den Bucket "Gepinnt" verschoben.

    • Sie können jedes Feld im Bucket Sonstige pinnen und in den Bucket "Gepinnt" verschieben. Wenn Sie ein Feld aus dem Bucket "Sonstige" in einer Suche oder Abfrage verwenden, wird es in den Bucket "Interessant" verschoben.

      Die ausgewählten Optionen werden der Abfrage in der Suchleiste automatisch hinzugefügt.

  • Visualisieren: In diesem Bereich können Sie festlegen, wie die Suchergebnisse angezeigt werden sollen. Im Feld Gruppieren nach können Sie festlegen, nach welchen Metriken die Ergebnisse gruppiert werden sollen.

  • Speichern: Mit dieser Schaltfläche speichern Sie die Suchabfrage, die sich derzeit im Feld Suchen befindet, für die Ausführung an einem späteren Zeitpunkt.

  • Öffnen: Mit dieser Schaltfläche können Sie zuvor gespeicherte Suchabfragen anzeigen. Sie können diese Abfragen ausführen und aktuelle Ergebnisse abrufen oder mit diesen Abfragen Dashboards erstellen.

  • Neu: Mit dieser Schaltfläche können Sie eine neue Suchabfrage starten.

  • Exportieren: Mit dieser Schaltfläche können Sie das Ergebnis der aktuellen Suchabfrage in eine Datei im Format Comma-seperated Values (CSV) oder JavaScript Object Notation (JSON) exportieren.

  • Ausführen: Mit dieser Schaltfläche können Sie die Abfrage, die derzeit im Feld Suchen angezeigt wird, ausführen.

  • Zeitselektor: Geben Sie den Zeitraum mit dem Zeitselektor an.

  • Visualisierungsbereich: Die Ergebnisse der Suchabfrage werden in diesem Bereich angezeigt. Die gefilterten Informationen in diesem Bereich werden geladen, wenn die Abfrage im Feld Suchen ausgeführt wird. Durch Klicken auf einen Bereich im Diagramm im Visualisierungsbereich können Sie einen Drilldown in die Suchabfrage durchführen und diese aktualisieren.

Schlüsselwörter, Wortgruppen und Platzhalter verwenden

Zeichenfolgenabfragen können Schlüsselwörter und Wortgruppen enthalten. Ein Schlüsselwort ist ein einzelnes Wort (z.B. database), während eine Wortgruppe mehrere Wörter umfasst, die in einfachen Anführungszeichen (‘ ‘) oder doppelten Anführungszeichen (“ “) stehen (z.B. ‘database connection’). Wenn Sie in der Abfrage ein Schlüsselwort oder eine Wortgruppe angeben, werden alle Logeinträge mit dem angegebenen Schlüsselwort oder der angegebenen Wortgruppe zurückgegeben, nachdem die Abfrage ausgeführt wurde.

Die Oracle Logging Analytics-Suchsprache unterstützt auch eine spezielle Musterzuordnung. Sie können also Platzhalterzeichen wie Sternchen (*), Fragezeichen (?) und Prozentzeichen (%) für Schlüsselwörter verwenden.

In der folgenden Tabelle sind die unterstützten Platzhalterzeichen aufgeführt. Außerdem finden Sie eine kurze Beschreibung zu den einzelnen Zeichen.

Platzhalterzeichen Beschreibung

?

Verwenden Sie dieses Zeichen, um genau ein Zeichen der Möglichkeiten mit dem Schlüsselwort zu vergleichen. Beispiel: Wenn Sie host? eingeben, wird das Schlüsselwort host1 als Übereinstimmung betrachtet, host.foo.bar hingegen nicht.

* oder %

Verwenden Sie eines dieser Zeichen, um 0 oder mehr Zeichen der Möglichkeiten mit dem Schlüsselwort zu vergleichen. Beispiel: Wenn Sie host* oder host% eingeben, werden host1 und host.foo.bar als Übereinstimmung mit dem Schlüsselwort betrachtet. Wenn Sie %host% eingeben, werden ahostb und myhost als Übereinstimmung mit dem Schlüsselwort betrachtet.

Sie können mehrere Schlüsselwörter angeben. Beispiel: database und connection. Logs mit den Wörtern database und connection (aber nicht unbedingt beide zusammen) werden zurückgegeben. Diese Wörter müssen jedoch nicht notwendigerweise nacheinander vorkommen. Wenn Sie die Wörter jedoch in Anführungszeichen setzen und als Wortgruppe in die Abfragezeichenfolge aufnehmen (z.B. ‘database connection’), werden nur die Logs zurückgegeben, die die Wortgruppe ‘database connection’ enthalten. Informationen zur Verwendung mehrerer Schlüsselwörter finden Sie unter Boolesche Ausdrücke verwenden.

Beachten Sie Folgendes, wenn Sie ein Schlüsselwort oder eine Wortgruppe angeben:

  • Bei Schlüsselwörtern und Wortgruppen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

  • Schlüsselwörter, die nicht in Anführungszeichen gesetzt sind, dürfen nur alphanumerische Zeichen, Unterstriche (_) und Platzhalterzeichen (*, % und ?) enthalten.

  • Jede Schlüsselwortsuche, bei der die Teilzeichenfolge als separate Direktive interpretiert werden könnte, muss in Anführungszeichen gesetzt sein. Beispiel: Um nach der Zeichenfolge and zu suchen, müssen Sie diese in einfache Anführungszeichen (‘and’) setzen, um zu verhindern, dass das System die boolesche Bedeutung verwendet.

Hinweis

Um Platzhalter mit dem Feld message zu verwenden, müssen Sie auch LIKE oder LIKE IN verwenden. Im Folgenden finden Sie Beispiele für die Verwendung von Platzhaltern mit message.
ORA-* AND message LIKE 'connection* error*'
ORA-* AND message LIKE IN ('tablesp*','connection* error*')

Vergleichsoperatoren verwenden

Vergleichsoperatoren sind Bedingungen, die Sie zum Aufbauen einer Beziehung zwischen einem Feld und seinem Wert angeben. Felder ohne Werte werden als Null betrachtet.

In der folgenden Tabelle sind die unterstützten Vergleichsoperatoren aufgeführt. Außerdem finden Sie eine kurze Beschreibung der einzelnen Operatoren.

Vergleichsoperator Beschreibung
< Wenn Sie diesen Operator in der Abfrage verwenden, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld kleiner als der angegebene Wert ist.
<= Wenn Sie diesen Operator in der Abfrage verwenden, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld kleiner oder gleich dem angegebenen Wert ist.
> Wenn Sie diesen Operator in der Abfrage verwenden, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld größer als der angegebene Wert ist.
>= Wenn Sie diesen Operator in der Abfrage verwenden, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld größer oder gleich dem angegebenen Wert ist.
= Wenn Sie diesen Operator in der Abfrage angeben, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld gleich dem angegebenen Wert ist.
!= Wenn Sie diesen Operator in der Abfrage angeben, werden alle Logeinträge zurückgegeben, deren Wert für das entsprechende Feld ungleich dem angegebenen Wert ist.

Mit diesen Operatoren können Sie Logs mit Feldern mit bestimmten Werten suchen. Beispiel: Geben Sie Severity=’ERROR’ an, um die verfügbaren Logs zu durchsuchen, bei denen der Wert des Feldes Severity ERROR lautet. Ebenso gibt Severity!=NULL alle Logs zurück, bei denen der Wert des Feldes Severity nicht Null ist (d.h. bei denen ein Schweregrad angegeben wurde).

Hinweis

Der Wert rechts neben dem Vergleichsoperator muss in Anführungszeichen angegeben werden, wenn der Wert nicht numerisch oder NULL ist.

Boolesche Ausdrücke verwenden

Das Feature "Oracle Logging Analytics-Suche" bietet die Funktionen LIKE und REGEX gemäß den Standardkonventionen. Boolesche Ausdrücke können den Wert true oder false aufweisen.

In der folgenden Tabelle sind die unterstützten booleschen Ausdrücke sowie eine kurze Beschreibung der einzelnen Ausdrücke aufgeführt.

Boolescher Ausdruck Beschreibung
AND Verwenden Sie diesen Ausdruck, um nur die Logs anzuzeigen, die beide angegebenen Parameter enthalten.
NOT IN oder IN Verwenden Sie diesen Ausdruck, um Daten zu suchen, die sich in einer bestimmten Teilmenge der verfügbaren Daten befinden. Beispiel: ‘Entity Type’ IN (‘Database Instance’,‘Automatic Storage Management’,’Listener’,’Cluster’) berücksichtigt zunächst nur die Logs, die ‘Database Instance’, ‘Automatic Storage’, Listener oder Cluster enthalten, und identifiziert dann die Logs, die ‘Entity Type’ enthalten. Wenn Sie jedoch NOT IN verwenden, werden Logeinträge mit dem angegebenen Schlüsselwort oder der angegebenen Wortgruppe ohne die angegebenen Einträge zurückgegeben. Beispiel: ‘Entity Type’ NOT IN (‘Database Instance’,’Automatic Storage Management’,’Listener’,’Cluster’) filtert zuerst die Logeinträge mit ‘Database Instance’, ‘Automatic Storage Management’, Listener und Cluster heraus und gibt dann die Logeinträge zurück, bei denen der Wert von ‘Target Type’ keiner der angegebenen Werte ist.

Das reservierte Wort NULL wird von diesem booleschen Operator unterstützt.

NOT LIKE oder LIKE Verwenden Sie diesen Ausdruck, um Daten zu suchen, die entweder mit dem angegebenen Zeichenmuster übereinstimmen oder diesem nicht entsprechen. Das Zeichenmuster ist eine Zeichenfolge, die Platzhalterzeichen enthalten kann.
NOT LIKE IN oder LIKE IN Ähnlich wie bei [NOT] IN können Sie mit diesem Ausdruck mehrere LIKE-Klauseln zusammen in einer Kurzform ausdrücken.
OR Hiermit können Sie die Logs anzeigen, die einen der angegebenen Parameter enthalten.

Die Sprache für die Oracle Logging Analytics-Suche unterstützt das Verschachteln von Booleschen Ausdrücken in anderen Booleschen Ausdrücken. Beispielabfrage: 

fatal ('order' OR host LIKE '*.oracle.com')

Wenn Sie diese Abfrage ausführen, werden alle Logs zurückgegeben, die fatal enthalten und entweder das Schlüsselwort order enthalten oder von einem Host stammen, dessen Name mit .oracle.com endet.

Abfragen mit der Logging Analytics-UI formulieren

Sie können Suchabfragen mit der Benutzeroberfläche von Oracle Logging Analytics formulieren.

Standardmäßig wird die Abfrage * | stats count by ‘log source’ im Feld Suchen angegeben.

Um Daten für bestimmte Entitys anzuzeigen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Log Explorer.

  2. Wählen Sie im Bereich "Felder" unter der Überschrift Entitys die Option Entity oder Entitytyp aus, je nachdem, wie Sie die Entitys anzeigen möchten. Dadurch werden die registrierten Datenbanken basierend auf Ihrer Auswahl gruppiert. Beispiel: Wenn Sie Entitytyp auswählen, werden die ausgewählten Entitys nach ihren Typen gruppiert.

  3. Wählen Sie die Entity oder den Entitytyp aus, für die bzw. den Sie die Daten anzeigen möchten.

  4. Klicken Sie auf Weiterleiten.

    Die Schaltfläche Löschen wird neben der ausgewählten Entity angezeigt, und die Daten werden im Visualisierungsbereich dargestellt.

Um Daten für ein bestimmtes Feld anzuzeigen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie den Feldtyp im Bereich Felder im Bucket Gepinnt, Interessant oder Sonstige aus.

  2. Wählen Sie Label, Logentity, Logquelle, Eigentümer oder Uploadname für die Anzeige von Daten aus. Sie können mehrere Labels, Logentitys, Logquellen, Eigentümer oder Uploadnamen auswählen.

  3. Klicken Sie auf Weiterleiten.

    Daten für das Feld werden im Visualisierungsbereich geladen.

Zeitraum in der Abfrage angeben

In der Regel ist der im Log Explorer ausgewählte Zeitraum nicht in der Abfragezeichenfolge enthalten. Sie können den Zeitraum in der Abfrage mit dem Modifikator absolute Zeit oder relative Zeit im Befehl search angeben.

Themen:
Hinweis

Bei einer gespeicherten Suche wird der im Log Explorer beim Erstellen der gespeicherten Suche ausgewählte Zeitraum als eine der Komponenten der gespeicherten Suche gespeichert. Wenn Sie die gespeicherte Suche verwenden, können Sie die Zeit mit der Zeitbereichsauswahl im Log Explorer bearbeiten.

Wenn der Zeitraum hingegen in einer Abfrage angegeben wird, wird der im Log Explorer ausgewählte Zeitraum ignoriert. Der in der Abfrage enthaltene Zeitraum wird für die Loganalyse verwendet. Wenn Sie diese Abfrage als gespeicherte Suche speichern, wird der in der Abfrage angegebene Zeitraum für Aufgaben der gespeicherten Suche und nicht für die im Log Explorer angegebene Zeit berücksichtigt.

Beispiele, in denen ein Zeitraum in der Abfrage angegeben werden kann:

  • Geben Sie alle ORA-600-Fehlerlogs zurück, die in den letzten 24 Stunden ermittelt wurden:

    Message like 'ORA-600%' and time > dateRelative(24h)

  • Gibt die Anzahl der Logs für das Hostziel myHost in den letzten 90 Tagen zurück: 

    'Host Name (Server)' = myHost and Time > dateRelative(90day) | stats count as 'Num Host Logs'

Zeitbasierte Funktionen, die mit dem Befehl search verwendet werden können

Die folgenden zeitbasierten Funktionen können nur mit dem Befehl search verwendet werden:

  • toDate: Dies ist die absolute Zeit, z.B. 2014-07-15T16:24:51.000Z oder '2014-07-12', 'yyyy-MM-dd'.

    Syntax für toDate: toDate(<time>).

  • dateRelative: Erstellt ein Datum relativ zum aktuellen Datum, z.B. 12h oder 2d, day.

    Syntax für dateRelative: dateRelative(<timespan>, <rounding interval>), wobei die Rundung auf der UTC-Zeit basiert.

  • dateadd: Fügt dem angegebenen Datum Zeiteinheiten hinzu. Beispiel: Fügen Sie Day, 2 zu toDate('2024-05-12', 'yyyy-MM-dd') hinzu

    Syntax für dateadd: dateadd(<date>, <unit>, <amount>).

  • dateset: Ändert ein Datum um die Zeiteinheiten. Beispiel: toDate('2015-08-12', 'yyyy-MM-dd') wurde mit year, 2014, month, 7 geändert.

    Syntax für dateset: dateset(<date>, <unit>, <value> [, <unit>,<value>]).

Die Zeitkriterien können mit den Vergleichsoperatoren =, !=, <, <=, >, >= und dem logischen Operator and ausgedrückt werden.

Unterstützte Zeiteinheiten

  • All Time

    Äquivalentes JSON-Beispiel: "timeFilter": { "type" : "relative", "timeUnit" : "allTime" }

  • Sekunde: s, sec, secs, second, seconds

  • Minute: m, min, min, min, minute, minutes

    Beispiel: Last 60 minutes

    Äquivalentes JSON-Beispiel: "timeFilter": { "type" : "relative", "duration" : "60", "timeUnit" : "minutes" }

  • Stunde: h, hr, hrs, hour, hours

  • Tag: d, Tag, Tage

  • Woche: w, Woche, Wochen

  • Monat: Mon, Monat, Monate

  • Jahr: Jahr, Jahr, Jahr, Jahr

Ein Beispiel für das absolute Datum im JSON-Format ist "timeFilter": { "type" : "absolute", "startTime" : "2015-04-26T08:00:00.000Z", "endTime" : "2015-04-27T08:00:00.000Z" }.

Beispiele für den Zeitraum in Abfragen

Die folgende Abfrage sucht nach allen Daten zwischen 2 absoluten Datumsangaben, die im ISO-Standardformat angegeben sind: 

time between '2014-07-15T16:24:51.000Z' and '2014-07-17T18:14:16.000Z'

Siehe ISO 8601: DATUM- UND ZEITFORMAT.

Die folgende Abfrage sucht alles basierend auf 2 absoluten Datumsangaben, die nicht dem ISO-Standardformat entsprechen: 

time between toDate('2014-07-12', 'yyyy-MM-dd') and toDate('2014-07-15', 'yyyy-MM-dd')

Die folgende Abfrage sucht nach allem außer den letzten 12 Stunden (* auf der linken Seite des Ausdrucks between steht für new Date(0), * auf der rechten Seite ist now): 

time between * AND dateRelative(12h)

Die folgende Abfrage sucht nach allem in den letzten 12 Stunden: 

time > dateRelative(12h)

Die folgende Abfrage sucht nach allem, was in den letzten 30 Minuten gerundet wurde, um am Anfang der Stunde zu beginnen: 

time > dateRelative(30min, hour)

Die folgende Abfrage sucht nach Datensätzen, die vor dem 12. Juli 2014 datiert sind:

time < dateAdd(toDate('2014-07-22', 'yyyy-MM-dd'), day, -10)

Die folgende Abfrage sucht nach Datensätzen, die nach dem 10. Juni 2010 datiert sind:

time > dateSet(toDate('2015-08-10', 'yyyy-MM-dd'), year, 2010, month, 6)

Unterabfragen schreiben

Mit Unterabfragen kann die untergeordnete Abfrage einen dynamischen Filter für ihre übergeordneten Abfragen bereitstellen. Unterabfragen werden zuerst ausgewertet, und das Ergebnis wird dann in der übergeordneten Abfrage verwendet.

  • Sie können Unterabfragen untereinander verschachteln und eine bestimmte Abfrage mit mehreren Unterabfragen auf derselben Ebene erstellen.
  • Unterabfragen erben standardmäßig den globalen Zeitraum. Sie können diesen jedoch bei Bedarf mit der Syntax time between T1 and T2 überschreiben.
  • Unterabfragen geben nur die ersten 2000 Übereinstimmungen als Eingabe an das übergeordnete Element zurück. Andere Ergebnisse werden abgeschnitten.
  • Der maximale Timeout für die Ausführung beträgt 30 Sekunden.
  • Alle von einer Unterabfrage zurückgegebenen Felder müssen dieselben Namen wie die Felder in der übergeordneten Abfrage aufweisen. Andernfalls wird ein Fehler ausgegeben.
  • Unterabfragen können nur innerhalb eines Suchbefehls verwendet werden.
  • Sie können in einer Unterabfrage alle Befehle außer cluster, clustersplit, clustercompare, fieldsummary, delete, classify, highlight und highlightrows verwenden.

Beispiele:

  • Traffic aus der IP-Sperrliste im Zeitablauf darstellen:
    [searchlookup table=ip_blacklist | distinct ip | rename ip as 'host address'] | timestats count
  • Die am häufigsten erworbenen Produkte für die Top-Benutzer einer E-Commerce-Site auflisten:
    'Log Source'='WLS Access Logs' status=200 action=purchase ['Log Source'='WLS Access Logs' status=200 action=purchase | stats count by 'Host (Client Address)' | top limit=1 'Host(Client Address)' | fields -*, 'Host (Client Address)'] | lookup table=products select 'product name' using productid | stats count, distinctcount(productId), unique('product name') by 'Host (Client Address)'
  • Top 4-BS-Prozess-IDs mit der höchsten Summe suchen: 
    [ *|stats sum('OS Process ID') as OSprocessidSum by 'OS Process ID' | top 4 OSprocessidSum | fields -OSprocessidSum ] | stats count by 'OS Process ID', 'Log Source', 'Host Name(Server)'
  • Alle Logs aus dem Ziel mit den schwerwiegendsten Schweregraden anzeigen:
    * and [ Severity = fatal | stats count by Target | top limit = 1 Count | fields -Count]