検索ボックスの使い方
ここで入力した値は、左メニューで指定した条件とAND結合されます。
(時刻が 2021-04-21T20:12:30 以下である)かつ (ユーザーが User-Name または User-Name-2 に後方一致する)
(いずれかの項目にUser-Nameに部分一致する文言がある) かつ (いずれかの項目にREADに部分一致する文言がある)
(IPを含む項目に 192.168.0.1 がある) または ( サーバが Tokyo_server でない)
(ユーザーの値が空である) かつ ( サーバが Osaka_server である)
(いずれかの項目に test1 に部分一致する文言がある かつ いずれかの項目に test2 に部分一致する文言がある) または (いずれかの項目に test3 に部分一致する文言がある)
項目名:値
項目名を省略することも可能です。省略した場合、全ての項目に対して部分一致検索が行われます。
項目名にアスタリスク( * )をワイルドカードとして使用することができます。
ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。
例
ABC*:Login
ABC で始まる全ての項目について、値が Login に完全一致するログがヒットします。
実際に見てみよう |
---|
[顧客]に関連するログ全てを検索したい |
[対象]欄で[顧客]に関連するログを検索したい |
■ 項目を指定するとき
値は完全一致で検索されます。
アスタリスク( * )をワイルドカードとして使用することができます。
アスタリスクをエスケープしたい場合は、** とする必要があります。
例
ユーザー:Value
ユーザーの値が Value に完全一致するログがヒットします。
ユーザー:*Value
ユーザーの値が Value に後方一致するログがヒットします。
ユーザー:Value*
ユーザーの値が Value に前方一致するログがヒットします。
ユーザー:*Value*
ユーザーの値が Value に部分一致するログがヒットします。
値が全項目に対して部分一致検索されます。この場合のみ、両端のアスタリスク(*)は無視されます。
実際に見てみよう |
---|
[ユーザー]欄で[sato]に関連するログを検索したい |
■ 大なり小なり
以下の形式で大なり小なり、以上以下が指定可能です。
項目:>値
項目:>=値
項目:<値
項目:<=値
値には整数と以下のDateTime型またはTime型の文字列を使用することができます。
実際に見てみよう |
---|
[Count]欄が[ 20(回)]以上のログを検索したい |
DateTime型
以下の形式が指定可能です。
yyyy/M/d
yyyy-M-d
yyyy-M-dTH\:m\:s
ここで、各記号の意味は以下の通りです。
yyyy
..西暦M
..月d
..日H
..時間m
..分s
..秒
Time型
以下の形式が指定可能です。
H\:m\:s
ここで、各記号の意味は以下の通りです。
H
..時間m
..分s
..秒
例
時刻: <=2021-04-21T20\:12\:30
時刻が 2021-04-21T20:12:30 以前であるログがヒットします。
時刻:>20\:12\:30
時刻の時間部分が 20:12:30 より後であるログがヒットします。
Count:>5
Count の値が5より大きいログがヒットします。
*:>5
全ての数値型項目うち、少なくとも一つの値が5より大きいログがヒットします。
実際に見てみよう |
---|
[日時]欄が[ 2021/7/10]のログを検索したい |
■ 範囲指定
以下の形式で範囲指定が可能です。
項目:[値1 TO 値2]
項目:{値1 TO 値2}
[]は境界を含み、{}は境界を含みません。
値には整数、DateTime型、Time型、および指定なしの意味でアスタリスク(*)が使用可能です。
例
時刻:[* TO 2021-04-21T20\:12\:30]
時刻が 2021-04-21T20:12:30 以前であるログがヒットします。
時刻:{20\:12\:30 TO *}
時刻の時間部分が 20:12:30 より後であるログがヒットします。
Count:{5 TO *}
Count の値が5より大きいログがヒットします。
*:{5 TO *}
全ての数値型項目うち、少なくとも一つの値が5より大きいログがヒットします。
実際に見てみよう |
---|
[時刻]欄が[2021/07/15~2021/07/30]までのログを検索したい |
■ AND(かつ)
AND または && で条件を結合することで、両方の条件を同時に満たすログをヒットさせることができます。
演算子を省略した場合もAND結合になります。
結合はANDの方がORよりも優先されます。
例
test1 AND test2
test1 && test2
test1 test2
いずれも test1 を含み、かつ test2 を含むログがヒットします。
実際に見てみよう |
---|
[sato]かつ[顧客]を含むログを検索したい |
■ OR(または)
OR または || で条件を結合することで、どちらか一方の条件を満たすログをヒットさせることができます。
結合はANDの方がORよりも優先されます。
例
test1 OR test2
test1 || test2
いずれも test1 を含むか、test2 を含むログがヒットします。
実際に見てみよう |
---|
[sato]または[顧客]を含むログを検索したい |
■ NOT(否定)
NOT を条件の前に付けることで、条件を満たさないログをヒットさせることができます。
例
test1 NOT test2
test1 を含み、かつ test2 を含まないログがヒットします。
実際に見てみよう |
---|
[Administrator]以外が行った[特権ID操作(ADMIN操作)]を検索したい |
■ 条件のグループ化
() 複数の条件をくくることで、条件単位でグループを指定することができます。
グループ化された条件は優先順位が上がり、先に評価されます。
例
test1 AND (test2 OR Test3 AND test4)
test2 OR Test3 AND test4 部分が先に評価されます。
■ 項目の値のグループ化
項目の値を () でくくることで、一つの項目に対して複数の条件を同時に指定することができます。
例
testItem:(test1 test2)
項目 testItem の値が test1 かつ test2 であるログがヒットします。
testItem:(test1 OR test2)
項目 testItem の値が test1 または test2 であるログがヒットします。
実際に見てみよう |
---|
[WIN-FS01]で[satoまたはgoto]のログを検索したい |
■ _exists_
以下のように _exists_ と項目名をコロン( : )で結合することで、項目が存在し、かつその値も存在するログのみをヒットさせることができます。
項目名にアスタリスク( * )をワイルドカードとして使用可能です。ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。
_exists_:項目名
例
_exists_:ClientName
項目 ClientName が存在し、その値が空でないログがヒットします。
_exists_:Client*
Client で始まる項目の少なくとも一つについて、項目が存在し、その値が空でないログがヒットします。
■ _missing_
以下のように _missing_ と項目名をコロン( : )で結合することで、項目が存在しないか、その値が空であるログのみをヒットさせることができます。
項目名にアスタリスク( * )をワイルドカードとして使用可能です。ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。
_missing_:項目名
例
_missing_:ClientName
項目 ClientName が存在しないか、その値が空であるログがヒットします。
_missing_:Client*
Client で始まる項目の少なくとも一つについて、項目が存在しないか、その値が空であるログがヒットします。
実際に見てみよう |
---|
[ユーザー]欄に値のないログを検索したい |
以下の特殊文字を文字列として検索したい場合は、バックスラッシュ(\)を特殊記号の前に使用するか、ダブルクオーテーションマーク(“)でくくる必要があります。
+ - ! ( ) { } [ ] ^ " ~ :
以下の特殊記号を文字列として検索したい場合は、ダブルクオーテーションマーク(“)でくくる必要があります。
&& || スペース
また、アスタリスク(*)をエスケープしたい場合は、** と指定する必要があります。
上記の特殊記号以外の前に出現したバックススラッシュ(\)は文字列として解釈されます。
例
\(1\+1\)\:2
(1+1):2 という文字列を含むログがヒットします。
"A && B || C"
A && B || C という文字列を含むログがヒットします。
実際に見てみよう |
---|
特殊文字[()]を含むログを検索したい |