我使用graylog 2.0(http://docs.graylog.org/en/2.0/pages/queries.html),它非常有用。
我想优化我的full_message搜索。 目前我是: -在Graylog中搜索字符串开头的所有 full_message 事件 -然后将其导出到excel -拆分文本(文本到列) -应用自动过滤器 -过滤任意时间> 20
搜索模式:
full_message: "Running queue with*"
搜索文字:
Network Queue: Running queue with id: dd82c225-fab7-44ce-9618-67d1ef332a03 and 1 items
Network Queue: Running queue with id: dd82c225-fab7-44ce-9618-67d1ef332a03 and 5 items
Network Queue: Running queue with id: dd82c225-fab7-44ce-9618-67d1ef332a03 and 25 items
Network Queue: Running queue with id: dd82c225-fab7-44ce-9618-67d1ef332a03 and 200 items
我想知道更好的reg搜索是否可以列出任何大于20的记录。
例如搜索字符串将是
full_message: "Running queue with [insert better regex here]"
谢谢
答案 0 :(得分:1)
您可以使用模式
Running queue with id: \S+ and (?:\d{3,}|[3-9]\d|2[1-9])
那里的最后一组允许:
\d{3,}具有三位或更多数字的任何数字,或者[3-9]\d 30-99之间的任意数字,或2[1-9]任意数字21-29