Search

Search theo câu truy vấn

Search theo câu truy vấn (Query search)

Cách 1: Sử dụng câu truy vấn

Bước 1: Nhập biểu thức tìm kiếm vào thanh search

Cấu trúc truy vấn: Tên trường + Toán tử + Giá trị

Trong đó:

a. Tên trường (Field name)

  • Gõ tên trường theo chuẩn CSM (Trong lúc người dùng type, hệ thống sẽ gợi ý các trường CSM tương ứng)
  • VD: host.name, event.kind, process.name, source.ip, user.name, rule.name, severity, …

b. Toán tử (Operator)

Hệ thống hỗ trợ các toán tử sau:

Toán tửCú phápVí dụ
Equalsfield:"value"status:"200"
Greater thanfield:{value TO *}bytes:{1000 TO *}
Greater than or equalsfield:[value TO *]bytes:[1000 TO *]
Less thanfield:{* TO value}bytes:{* TO 5000}
Less than or equalsfield:[* TO value]bytes:[* TO 5000]
Not equals-field:value
not field:value		-status:200
not status:200

c. Giá trị (Value)

Sử dụng cú pháp Lucene Query. Một số trường hợp phổ biến:

Loại tìm kiếmCú phápVí dụ
Tìm chính xác (Exact search)Các giá trị có kí tự đặc biệt và space dùng dấu ngoặc kép " "event.kind : "alert"
Tìm gần đúng (Partial match)Dùng dấu * để tìm chuỗi có ký tự bất kỳhost.name : web*
→ khớp với web01, webserver, webapp...
Tìm theo khoảng giá trị (Range query)Dùng [] hoặc {} để tìm trong/ngoài khoảng[a TO b] bao gồm a,b → severity: [2 TO 5]

{a TO b} loại trừ a,b → event.id: {100 TO 200}

Kết hợp nhiều điều kiện:

  • AND: tất cả điều kiện đều đúng.
  • OR: ít nhất một điều kiện đúng.
Ví dụ:event.kind = "alert" AND severity >= 3 process.name = "powershell.exe" OR user.name = "admin"

Cách 2: Sử dụng filter tìm kiếm nâng cao (Advanced query search)

Bước 1: Mở cửa sổ Advanced Query

Nhấn vào icon bộ lọc (Advanced Query) để mở giao diện tạo bộ lọc nâng cao

Bước 2: Nhập biểu thức tìm kiếm

a. Chọn trường (Field)

Chọn tên trường trong danh sách dropdown. Hệ thống hiển thị toàn bộ các trường CSM khả dụng.

b. Chọn toán tử (Operator)

Phụ thuộc vào kiểu dữ liệu của trường:

Kiểu dữ liệuToán tử hỗ trợ
String, IPEquals, Not Equals, Contains
NumberEquals
Not equals
Greater than
Less than
Greater than or equals
Less than or equals
Between (Inclusive)
Between (Exclusive)

c. Nhập giá trị (Value)

Nhập giá trị bạn muốn tìm vào ô Value

Bước 3: Chuyển sang dạng Search Query

Nhấn button "Apply Filters" để hệ thống tự động chuyển bộ điều kiện thành Search Query và hiển thị trong ô tìm kiếm chính.

Bước 4: Tìm kiếm

Nhấn button "Run Search" để thực thi truy vấn. Kết quả hiển thị ở sơ đồ Event Over Time và bảng Event.

💡 Có thể kết hợp Search Query và Advanced Search. Hệ thống sẽ tự động ghép 2 điều kiện bằng toán tử AND.Ví dụ:
  • Search query: event.kind = "error"
  • Advanced query: host.name = "HN110SRV01" → Kết quả cuối cùng: event.kind = "error" AND host.name = "HN110SRV01"
Giới hạn: Search theo query chỉ giới hạn trong phạm vi tối đa 30 ngày gần nhất.

Overview

Search theo văn bản

logo
CMC Telecom
Aspire to Inspire the Digital World