Búsqueda de consulta

Oracle Log Analytics permite filtrar y analizar grandes cantidades de información de log en la base de Datos empresariales, a través de la pantalla única, unificada y personalizable que es fácil de leer y en la que se fácil desplazarse. Utilice la función de búsqueda integrada para filtrar todos los datos de log disponibles y devolver entradas de log específicas.

La búsqueda de Oracle Log Analytics Search le permite aumentar detalle a entradas de log específicas, lo cual permite realizar análisis y supervisión centrados en toda la empresa. Utilice el idioma de consulta de Oracle Log Analytics para formular consultas de búsqueda, que recuperarán entradas del log específicas para el problema que está solucionando.

El lenguaje de consulta para analizar los logs permite especificar qué acción se debe realizar en los resultados de búsqueda. Estos comandos pueden ser comandos de búsqueda y estadísticos. Los comandos de búsqueda son los comandos que filtran más detalladamente las entradas de log disponibles. Los comandos estadísticos realizan operaciones estadísticas en los resultados de la búsqueda. Para obtener la lista completa de comandos, su sintaxis y ejemplos para utilizarlos, consulte Query Language Command Reference.

El lenguaje de consulta de Oracle Log Analytics le permite:

Filtrar y explorar todos los datos de log disponibles
Realizar análisis de la causa raíz
Ejecutar análisis estadísticos en entidades seleccionadas
Generar informes
Guardar consultas de búsqueda para uso posterior
Recuperar búsquedas guardadas para crear paneles de control

Puede crear la consulta de búsqueda arrastrando elementos del panel Campo y soltándolos en las secciones correspondientes de la columna Visualizar o introduciendo directamente la consulta en el campo Buscar. Para obtener más información sobre el uso de la interfaz de usuario para formular consultas, consulte Formulación de consultas mediante la interfaz de usuario de Log Analytics.

Para escribir consultas de realización mediante el comando regex, consulte la sintaxis RE2J en Java Implementation of RE2.

Usar Asistente de Ayuda de Consulta

Log Analytics ahora le ofrece ayuda activa para aprender rápidamente a escribir consultas y también proporciona un amplio conjunto de consultas de ejemplo para análisis avanzados.

Haga clic en el icono de ayuda situado junto a la barra de consultas en el explorador de logs para abrir el asistente de ayuda de consultas. En cuestión de minutos, puede comprender el formato y la sintaxis de las consultas que puede componer. Ejecute las consultas de ejemplo a partir de la búsqueda básica hasta el análisis avanzado y familiarícese con la referencia de consulta. El asistente le proporciona algunos consejos y accesos directos para que la búsqueda sea eficaz. También puede ver el resultado de la ejecución de algunos de los comandos comunes para sus casos de uso habituales.

Temas:

Consulte también Filtrado de logs por máscara de hash.

Búsqueda de logs con palabras clave y frases

Puede utilizar comandos para recuperar los datos de log y para trabajar con esos datos. El primer comando (e implícito) de una consulta es el comando de búsqueda. Una búsqueda es una serie de comandos delimitados por un carácter de pleca (|). La primera cadena con espacios en blanco que aparece tras el carácter de pleca identifica el comando que se va a utilizar. El carácter de pleca indica que los resultados del comando anterior se deben utilizar como entrada para el siguiente comando.

Por ejemplo, para buscar todos los mensajes de error de la base de Datos, introduzca la siguiente expresión lógica en la barra Buscar de Oracle Log Analytics:

Severity = 'error' AND 'Entity Type' = 'Database Instance'

Al incluir las palabras entre comillas e incluirlas en la cadena de consulta como frase (‘Database Instance’, por ejemplo), solo se devuelven los logs que contengan la frase ‘Database Instance’. Además, las búsquedas por palabra clave en las que la subcadena se podría interpretar como una directiva separada deben ser específicas entre comillas. Por ejemplo, para buscar la cadena and, debe introducir la cadena entre comillas simples (‘and’) para evitar que el sistema utilice su significado booleano.

Para obtener más ejemplos y detalles sobre el uso del lenguaje de consulta para buscar los logs, consulte Escribir consultas de búsqueda.

Visualización de las búsquedas recientes

Oracle Log Analytics permite seleccionar y ejecutar una búsqueda utilizada recientemente. Al hacer clic del campo Buscar o introducir texto en el campo de Buscar, Oracle Log Analytics muestra una lista de búsquedas utilizadas recientemente. Esto le permite acceder rápidamente a los comandos de búsqueda utilizados recientemente. Puede seleccionar cualquiera de los comandos mostrados y hacer clic en Ejecutar para ejecutar el comando de búsqueda seleccionado.

Nota

La lista utilizada recientemente está disponible por sesión. Por lo tanto, si cierra la sesión en Oracle Log Analytics y vuelve a iniciarla, no se mostrará la lista de la sesión anterior. Se crea una nueva lista de búsquedas recientes para su sesión.

Uso de la función Sugerencia automática

Al introducir una consulta en el campo Buscar, la función de sugerencia automática de Oracle Log Analytics sugiere automáticamente términos que puede utilizar en la consulta. Oracle Log Analytics muestra una lista de sugerencias, según el texto introducido en el campo Buscar. Por ejemplo, si ha introducido el nombre de un campo o una acción de búsqueda, la función de sugerencia automática muestra los valores posibles solo para ese campo o la lista de acciones disponibles.

Escritura de consultas de búsqueda

Puede especificar entidades, palabras clave, frases o comodines, operadores de comparación, expresiones booleanas, funciones y tiempo para crear la consulta de búsqueda de la aplicación Oracle Log Analytics.

Para utilizar la función Buscar en Oracle Log Analytics, debe formular una consulta y introducirla en el campo Buscar.

Temas:

Además, consulte Parámetros de URL del Explorador de Logs.

Uso de la interfaz de usuario de Log Analytics

La interfaz Oracle Log Analytics le permite formular la consulta de búsqueda.

Puede utilizar los siguientes elementos de la interfaz de usuario para formular la consulta de búsqueda:

Barra de búsqueda: la consulta de búsqueda se muestra aquí. Puede editar directamente el texto en este campo para acotar aún más los resultados de búsqueda.

La barra de búsqueda aumenta o se reduce según el número de líneas agregadas a la consulta. Puede tener un máximo de 21 líneas y un mínimo de 1 línea. Algunos de los accesos directos personalizados disponibles son:
- Ctrl + i: sangrar cada línea del texto presente en el editor. Tenga en cuenta que con laI mayúscula se abre el depurador.
- Ctrl + Enter: ejecutar la consulta que se muestra en el editor
- Con Ctrl + Space: se muestra la lista de opciones de terminar automáticamente según la posición del cursor
- Ctrl + Z: deshace la última edición
- Ctrl + Y: rehace la última edición
- Ctrl + D: suprime la línea actual
Nota: No utilice la tecla SHIFT a menos que se especifique.

Coloque el cursor entre los paréntesis de apertura o cierre para ver el elemento coincidente resaltado. Los elementos que se pueden resaltar son ( ) y [ ].

La barra de búsqueda soporta dos temas diferentes, de color y de escala de grises. Puede cambiar los temas dinámicamente cambiando la opción en la ventana emergente de ayuda.
Campo: el panel Campo está dividido en las siguientes secciones:
- Los atributos de Anclado permiten filtrar los datos de log en función de los siguientes elementos:
  - Orígenes de log, como logs de base de datos, logs de Oracle WebLogic Server, etc.
  - Entidades de log, que son los nombres de archivos log reales.
  - Etiquetas, que son etiquetas agregadas a entradas de log cuando las entradas de log coinciden con condiciones definidas específicas.
  - Nombres de carga de los datos de log cargados bajo demanda.
  Por defecto, las entidades y los detalles de recopilación están disponibles en el cubo Anclado del panel Campos para filtrar. Puede anclar campos adicionales al cubo Anclado según su uso. Una vez anclados, los campos se mueven al cubo Anclado. Puede desanclar cualquier campo y eliminarlo del cubo Anclado y moverlo de nuevo al cubo Interesante u Otro.
- En función de la búsqueda y las consultas, Oracle Log Analytics agrega automáticamente campos al cubo Interesante para su consulta rápida. Puede anclar un campo que esté disponible en el cubo Interesante. A continuación, el campo anclado se mueve al cubo Anclado.
- Puede anclar cualquier campo del cubo Otros y moverlo al cubo Anclado. Si utiliza un campo del cubo Otros en la búsqueda o consulta, se mueve al cubo Interesante.
  
  Las opciones seleccionadas se agregan automáticamente a la consulta en la barra Buscar.
Visualizar: en este panel, puede seleccionar cómo preferiría ver los resultados de la búsqueda. En el campo Agrupar por, puede decidir las métricas por las que agrupar los resultados.
Guardar: utilice este botón para guardar la consulta de búsqueda que está actualmente en el campo Buscar, que se ejecutará posteriormente.
Abrir: utilice este botón para ver las consultas de búsqueda guardadas anteriormente. Puede ejecutar estas consultas y obtener resultados actuales, o bien puede utilizarlas para crear paneles de control.
Nuevo: utilice este botón para iniciar una nueva consulta de búsqueda.
Exportar: utilice este botón para exportar el resultado de la consulta de búsqueda actual en un archivo con el formato Comma-separated Values(CSV) o JavaScript Object Notation(JSON).
Ejecutar: utilice este botón para ejecutar la consulta que está actualmente en el campo Buscar.
Selector de tiempo: utilice el selector de tiempo para especificar el período de tiempo.
Panel de visualización: los resultados de la consulta de búsqueda se muestran en este panel. La información filtrada de este panel se carga cuando se ejecuta la consulta en el campo Buscar. Al hacer clic en cualquier área del gráfico en el panel de visualización, puede aumentar el detalle de la consulta de búsqueda y actualizarla.

Uso de palabras clave, frases y comodines

Las consultas de cadena pueden incluir palabras clave y frases. Una palabra clave es una sola palabra (por ejemplo, database), mientras que una frase hace referencia a varias palabras, entre comillas simples (‘ ‘) o dobles (“ “) (por ejemplo, ‘database connection’). Si especifica una palabra clave o una frase en la consulta, todas las entradas de log que contengan la palabra clave o frase especificada se devuelven después de ejecutar la consulta.

El idioma de búsqueda de Oracle Log Analytics también soporta la asignación de patrones especiales. En otras palabras, puede utilizar caracteres comodín, como el asterisco (*), el signo de interrogación (?) y el porcentaje (%), para completar palabras clave.

En la siguiente tabla se muestran los caracteres comodín soportados y se proporciona una breve descripción de cada uno de ellos.

Carácter comodín	Descripción
`?`	Utilice este carácter para hacer coincidir exactamente un carácter de las posibilidades con la palabra clave. Por ejemplo, si introduce `host?`, la palabra clave `host1` se considera una coincidencia, mientras que `host.foo.bar` no lo es.
`*` o `%`	Utilice cualquiera de estos caracteres para hacer coincidir 0 o más caracteres de las posibilidades, con la palabra clave. Por ejemplo, si introduce `host*` o `host%`, se considera que `host1` y `host.foo.bar` coinciden con la palabra clave. Del mismo modo, si introduce `%host%`, se considera que `ahostb` y `myhost` coinciden con la palabra clave especificada.

Puede especificar varias palabras clave. Por ejemplo, database y connection. Se devuelven los logs que contengan las palabras database y connection (pero no necesariamente juntos). Sin embargo, estas palabras no tienen que aparecer necesariamente de forma consecutiva. Sin embargo, al incluir las palabras entre comillas e incluirlas en la cadena de consulta como frase (‘database connection’, por ejemplo), solo se devuelven los logs que contengan la frase ‘database connection’. Para ver cómo utilizar varias palabras clave, consulte Usar expresiones booleanas.

Al especificar una palabra clave o frase, recuerde lo siguiente:

Las palabras clave y las cadenas de frases no distinguen entre mayúsculas y minúsculas.
Las palabras clave que no están entre comillas deben contener solo caracteres alfanuméricos, de subrayado (_) y caracteres comodín (*, % y ?).
Las búsquedas por palabra clave en las que la subcadena se podría interpretar como una directiva separada deben ser específicas entre comillas. Por ejemplo, para buscar la cadena and, tendrá que introducirla entre comillas simples (‘and’) para evitar que el sistema seleccione su significado booleano.

Nota

Para utilizar comodines con el campo message, también debe utilizar LIKE o LIKE IN. A continuación se muestran ejemplos del uso de comodines con message.

ORA-* AND message LIKE 'connection* error*'

ORA-* AND message LIKE IN ('tablesp*','connection* error*')

Uso de operadores de comparación

Los operadores de comparación son condiciones que se especifican para establecer una relación entre un campo y su valor. Los campos sin valores se consideran nulos.

En la siguiente tabla se muestran los operadores de comparación soportados y se proporciona una breve descripción de cada uno de ellos.

Operador de comparación	Descripción
`<`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, inferior al valor especificado.
`<=`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, menor o igual que el valor especificado.
`>`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, mayor que el valor especificado.
`>=`	Si utiliza este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, mayor o igual que el valor especificado.
`=`	Si especifica este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, igual que el valor especificado.
`!=`	Si especifica este operador en la consulta, se devolverán todas las entradas de log con un valor, para el campo correspondiente, distinto del valor especificado.

Utilice estos operadores para buscar logs con campos con valores específicos. Por ejemplo, especifique Severity=’ERROR’ para buscar en los logs disponibles donde el valor del campo Severity sea ERROR. Del mismo modo, Severity!=NULL devuelve todos los logs en los que el valor del campo Severity no sea nulo (es decir, donde se haya especificado la gravedad).

Nota

El valor a la derecha del operador de comparación se debe especificar entre comillas si el valor no es numérico o NULL.

Uso de expresiones booleanas

La función de Oracle Log Analytics Search tiene las capacidades de LIKE y REGEX, según la convenciones estándar. Las expresiones booleanas pueden tener un valor true o false.

En la siguiente tabla se muestran las expresiones booleanas soportadas, junto con una breve descripción de cada una de ellas.

Expresión booleana	Descripción
`AND`	Utilice esta expresión para ver solo los logs que contengan ambos parámetros especificados.
`NOT IN` o `IN`	Utilice esta expresión para buscar datos que estén en un subjuego especificado de datos disponibles. Por ejemplo, `‘Entity Type’ IN (‘Database Instance’,‘Automatic Storage Management’,’Listener’,’Cluster’)` primero tendrá en cuenta únicamente los logs que contengan `‘Database Instance’`, `‘Automatic Storage’`, `Listener` o `Cluster` y, a continuación, identificará los logs que contengan `‘Entity Type’`. Sin embargo, al utilizar `NOT IN`, se devuelven las entradas de log con la palabra clave o frase especificadas, excluidas las entradas especificadas. Por ejemplo, `‘Entity Type’ NOT IN (‘Database Instance’,’Automatic Storage Management’,’Listener’,’Cluster’)` primero filtra las entradas de log con `‘Database Instance’`, `‘Automatic Storage Management’`, `Listener` y `Cluster` y, a continuación, devuelve las entradas de log en las que el valor de `‘Target Type’` no sea uno de los valores especificados. La palabra reservada `NULL` está soportada con este operador booleano.
`NOT LIKE` o `LIKE`	Utilice esta expresión para buscar datos que coincidan o no con el patrón de caracteres especificado. El patrón de caracteres es una cadena que puede contener uno o más caracteres comodín.
`NOT LIKE IN` o `LIKE IN`	De forma similar a `[NOT] IN`, esta expresión permite utilizar una abreviatura para expresar varias cláusulas `LIKE` juntas.
`OR`	Utilice esta opción para ver los logs que contengan cualquiera de los parámetros especificados.

El lenguaje Oracle Log Analytics Search soporta expresiones booleanas anidadas dentro de otras expresiones booleanas. Por ejemplo, tenga en cuenta la siguiente consulta:

fatal ('order' OR host LIKE '*.oracle.com')

Al ejecutar esta consulta, se devuelven todos los logs que contengan fatal y que contengan la palabra clave order o que se hayan originado en un host cuyo nombre termina en .oracle.com.

Formulación de consultas mediante la interfaz de usuario de Log Analytics

Puede utilizar la interfaz para formular la consulta de búsqueda de Oracle Log Analytics.

Por defecto, la consulta * | stats count by ‘log source’ se especifica en el campo Buscar.

Para ver los datos de entidades específicas, realice los siguientes pasos:

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Explorador de logs.
En la cabecera Entidades del panel Campos, seleccione Entidad o Tipo de entidad, según cómo desee ver las entidades. De esta forma se agrupan las bases de datos registradas en función de la selección realizada. Por ejemplo, si selecciona Tipo de entidad, las entidades seleccionadas se agrupan según sus tipos.
Seleccione la entidad o el tipo de entidad cuyos datos desea ver.
Haga clic en Enviar.

Aparece el botón borrar junto a la entidad que ha seleccionado y los datos se muestran en el panel de visualización.

Para ver los datos de un campo específico, realice los siguientes pasos:

Seleccione el tipo de campo del panel Campos y en los atributos Anclado, el cubo Interesante o el cubo Otro.
Seleccione la etiqueta, la entidad de log, el origen de log, el propietario o el nombre de carga cuyos datos desea ver. Puede seleccionar más de una etiqueta, entidad de log, origen de log, propietario o nombre de carga.
Haga clic en Enviar.

Los datos del campo se cargan en el panel de visualización.

Especificar el rango temporal en la consulta

Normalmente, el rango temporal que seleccione en el explorador de logs no se incluye en la cadena de consulta. Puede especificar el rango temporal en la consulta mediante el modificador tiempo absoluto o tiempo relativo en el comando search.

Temas:

Nota

En el caso de la búsqueda guardada, el rango temporal seleccionado en el explorador de logs al crear la búsqueda guardada se almacena como uno de los componentes de la búsqueda guardada. Al utilizar la búsqueda guardada, puede editar el tiempo mediante el selector de rango temporal en el explorador de logs.

Por otro lado, cuando el rango de tiempo se especifica en una consulta, se ignora el rango de tiempo seleccionado en el explorador de logs. El rango temporal incluido en la consulta se utiliza para el análisis de log. Al guardar esta consulta como Búsqueda guardada, el rango de tiempo especificado en la consulta se considera para las tareas de Búsqueda guardada y no para el tiempo especificado en el explorador de logs.

Algunos ejemplos en los que se puede especificar un rango temporal en la consulta:

Devolver todos los logs de errores ORA-600 detectados en las últimas 24 horas:
```
Message like 'ORA-600%' and time > dateRelative(24h)
```

Devuelve el recuento de logs para el destino de host myHost en los últimos 90 días:

'Host Name (Server)' = myHost and Time > dateRelative(90day) | stats count as 'Num Host Logs'

Funciones basadas en tiempo que se pueden utilizar con el comando search

Las siguientes funciones basadas en tiempo solo se pueden utilizar con el comando search:

toDate: es la hora absoluta, por ejemplo, 2014-07-15T16:24:51.000Z o '2014-07-12', 'yyyy-MM-dd'.

Sintaxis para toDate: toDate(<time>).
dateRelative: crea una fecha relativa a la fecha actual, por ejemplo, 12h o 2d, day.

Sintaxis para dateRelative: dateRelative(<timespan>, <rounding interval>), donde el redondeo se basa en la hora UTC.
dateadd: agrega unidades de tiempo a la fecha especificada, por ejemplo, agregue Day, 2 a toDate('2024-05-12', 'yyyy-MM-dd')

Sintaxis para dateadd: dateadd(<date>, <unit>, <amount>).
dateset: cambia una fecha por las unidades de tiempo. Por ejemplo, toDate('2015-08-12', 'yyyy-MM-dd') ha cambiado por year, 2014, month, 7

Sintaxis para dateset: dateset(<date>, <unit>, <value> [, <unit>,<value>]).
now: fecha y hora actuales.
Sintaxis para now: now().

Los criterios de tiempo se pueden expresar mediante los operadores de comparación =, !=, <, <=, >, >= y el operador lógico and.

Unidades de tiempo admitidas

All Time

Ejemplo de JSON equivalente: "timeFilter": { "type" : "relative", "timeUnit" : "allTime" }
Segundo: s, seg, seg, segundo, segundos
Minuto: m, min, mins, minute, minutes

Ejemplo: Last 60 minutes

Ejemplo de JSON equivalente: "timeFilter": { "type" : "relative", "duration" : "60", "timeUnit" : "minutes" }
Hora: h, h, h, h, hora, horas
Día: d, día, días
Semana: w, semana, semanas
Mes: mon, mes, meses
Año: año, año, año, años

Un ejemplo para la fecha absoluta en formato JSON es "timeFilter": { "type" : "absolute", "startTime" : "2015-04-26T08:00:00.000Z", "endTime" : "2015-04-27T08:00:00.000Z" }.

Ejemplos de rango temporal en consultas

La siguiente consulta busca todo lo que se encuentre entre 2 fechas absolutas especificadas en formato estándar ISO:

time between '2014-07-15T16:24:51.000Z' and '2014-07-17T18:14:16.000Z'

Consulte ISO 8601: FECHA Y FORMATO DE TIEMPO.

La siguiente consulta busca todo en función de 2 fechas absolutas que no sean el formato estándar ISO:

time between toDate('2014-07-12', 'yyyy-MM-dd') and toDate('2014-07-15', 'yyyy-MM-dd')

La siguiente consulta busca todo excepto desde las últimas 12 horas (* a la izquierda de la expresión between representa new Date(0), * a la derecha es now):

time between * AND dateRelative(12h)

La siguiente consulta busca todo en las últimas 12 horas:

time > dateRelative(12h)

La siguiente consulta busca todo en los últimos 30 minutos redondeados para comenzar desde la parte superior de la hora:

time > dateRelative(30min, hour)

La siguiente consulta busca registros con fecha anterior al 12 de julio de 2014:

time < dateAdd(toDate('2014-07-22', 'yyyy-MM-dd'), day, -10)

La siguiente consulta busca registros con fecha posterior al 10 de junio de 2010:

time > dateSet(toDate('2015-08-10', 'yyyy-MM-dd'), year, 2010, month, 6)

La siguiente consulta busca registros con la última fecha de conexión anterior a la hora actual:

'Upload Name' = idcs_dev8_dormant_upload and 'Last Login Date' < now()

La siguiente consulta busca los datos de las últimas 24 horas:

time between daterelative(1d) and now()

La siguiente consulta busca entre un registro de hora absoluto y ahora:

time between '2015-06-15T00:00:00.000Z' and now()

Escritura de subconsultas

Las subconsultas permiten que la consulta secundaria proporcione un filtro dinámico a sus consultas principales. Las subconsultas se evalúan en primer lugar y el resultado se utiliza en la consulta principal.

Puede anidar subconsultas entre sí, así como una consulta particular que tenga varias subconsultas en el mismo nivel.
Por defecto, las subconsultas heredan el rango de tiempo global, pero puede sustituirlo mediante la sintaxis time between T1 and T2, si es necesario.
Las subconsultas están restringidas para devolver solo las primeras 2.000 coincidencias como entrada a su principal. Los demás resultados se truncan.
Tienen un timeout máximo de 30 segundos para terminar.
Todos los campos devueltos por una subconsulta deben coincidir con los campos de la consulta principal por nombre. De lo contrario, se producirá un error.
Solo puede utilizar subconsultas dentro de un comando de búsqueda.
Puede utilizar todos los comandos dentro de una subconsulta, excepto cluster, clustersplit, clustercompare, fieldsummary, delete, classify, highlight y highlightrows.

Ejemplos:

Crear un gráfico del tráfico a partir de la lista negra de IP con el tiempo:

[searchlookup table=ip_blacklist | distinct ip | rename ip as 'host address'] | timestats count

Enumerar los productos más comprados para los principales usuarios de un sitio de comercio electrónico:

'Log Source'='WLS Access Logs' status=200 action=purchase ['Log Source'='WLS Access Logs' status=200 action=purchase | stats count by 'Host (Client Address)' | top limit=1 'Host(Client Address)' | fields -*, 'Host (Client Address)'] | lookup table=products select 'product name' using productid | stats count, distinctcount(productId), unique('product name') by 'Host (Client Address)'

Buscar los 4 principales ID de procesos del sistema operativo con la suma más alta:

[ *|stats sum('OS Process ID') as OSprocessidSum by 'OS Process ID' | top 4 OSprocessidSum | fields -OSprocessidSum ] | stats count by 'OS Process ID', 'Log Source', 'Host Name(Server)'

Mostrar todos los logs del destino con los logs de gravedad más fatales:

* and [ Severity = fatal | stats count by Target | top limit = 1 Count | fields -Count]

Funciones de búsqueda

Puede utilizar las siguientes funciones en las consultas de búsqueda:

Función	Descripción	Ejemplo
`md5(string)`	Busca el valor codificado md5	`md5("hash my input")`
`sha1(string)`	Busca el valor codificado sha1	`sha1("hash my input")`
`sha256(string)`	Busca el valor codificado sha256	`sha256("hash my input")`
`sha512(string)`	Busca el valor codificado sha512	`sha512("hash my input")`
`encode64(string)`	Busca el valor codificado Base64	`encode64("my input")`
`decode64(string)`	Busca el valor descodificado Base64	`decode64("encoded input")`
`anyOf(condition1, condition2, ..., conditionN)`	Nota: Es equivalente a (condition1 O condition2 O ... conditionN) *Nota:* También se puede utilizar en eval/where.	`anyof(ERROR, WARNING, FATAL)` - Buscar cualquiera de estas palabras `anyof(Severity = ERROR, ERROR)`
`allOf(condition1, condition2, ..., conditionN)`	Nota: Es el equivalente de (condition1 AND condition2 AND ... conditionN) *Nota:* También se puede utilizar en eval/where.	`allof(ERROR, WARNING, FATAL)` - Buscar las tres palabras `allof(Severity = ERROR, ERROR)`
`anyFields(wildCardExpression) = value` `anyFields(wildCardExpression) != value`	Nota: Es equivalente a (field1 = valor OR field2 = valor OR ...) *Nota:* También se puede utilizar en eval/where.	`anyFields('Project) != null` Se convierte a ('ID de proyecto' != nulo o 'Nombre de proyecto' != nulo o 'Descripción de proyecto' != nulo)*
`allFields(wildCardExpression) = value` `allFields(wildCardExpression) != value`	Nota: Es equivalente a (field1 = valor AND field2 = valor OR ...) *Nota:* También se puede utilizar en eval/where.	`allFields('Project) != null` Se convierte a ('ID de proyecto' != nulo y 'Nombre de proyecto' != nulo y 'Descripción de proyecto' != nulo)*

Más ejemplos para anyof() y allof():

Coincide con los logs que tienen cualquiera de estas palabras: adm, logoff o user:
```
anyof(adm, logoff, user)
```
Coincide con los logs que tienen todas estas palabras: adm, logoff o user:
```
allof(adm, logoff, user)
```
Coincide con los logs que NO tienen ninguna de las palabras oracle o active y tienen el valor no nulo para el campo gravedad.
```
severity != null not anyof(oracle, active)
```
Coincide con los logs que NO tienen las dos palabras oracle o active y tienen un valor no nulo para el campo gravedad.
```
severity != null not allof(oracle, active)
```

Devuelve los valores de gravedad que comienzan con d o comienzan con f:

* | distinct Severity | where anyof(substr(severity, 0, 1) = d, substr(severity, 0, 1) = f)

Devuelve los valores de gravedad que empiezan por f y son not fatal:

* | distinct Severity | where allof(severity != fatal, substr(severity, 0, 1) = f)

Más ejemplos para allfields() y anyfields():

Devuelve logs en los que todos los campos que comienzan con la cadena tar (por ejemplo: Destino, Guid de destino, Tipo de destino) no son nulos:
```
allfields(tar*) != null
```
allfields es la función por defecto y la consulta anterior se puede escribir de la siguiente forma:
```
'tar*' != null
```
Devuelve logs en los que cualquiera de los campos que empiezan por tar son nulos:
```
anyFields(tar*) = null
```
Coincide con los logs con todos los campos numéricos que terminan con length (por ejemplo: longitud de paquete, longitud, longitud de paquete UDP) con el valor 2:
```
allFields(*length) = 2
```
Coincide con los logs con cualquiera de los campos numéricos que terminan con length con un valor 2:
```
anyFields(*length) = 2
```

Documentación de Oracle Cloud Infrastructure