Saltar al contenido principal
Al buscar registros, puede crear consultas con un subconjunto de la sintaxis de consulta de Lucene para refinar la búsqueda. La cadena de consulta se analiza en una serie de términos y operadores:
  • Un término puede ser una sola palabra, como jane o smith.
  • Un término puede ser una frase entre comillas dobles ("customer log"), que coincidirá con todas las palabras de la frase en el mismo orden.
  • Un término sin nombre de campo solo coincidirá con estos campos seleccionados.
  • Se pueden agrupar varios términos entre paréntesis para formar subconsultas.
  • Todos los campos de búsqueda distinguen entre mayúsculas y minúsculas.
  • Los operadores (AND, OR, NOT) funcionan en todos los campos de búsqueda.

Campos de búsqueda

Los siguientes campos admiten búsquedas y distinguen entre mayúsculas y minúsculas:
CampoDescripción
client_idID de cliente relacionado con el evento.
client_nameNombre del cliente relacionado con el evento.
connectionNombre de la conexión relacionado con el evento.
connection_idID de la conexión relacionado con el evento.
descriptionDescripción del evento.
dateFecha en la que ocurrió el evento, en formato YYYY-MM-DD.
hostnameNombre de host usado para el flujo de autenticación.
ipDirección IP desde la que se originó la solicitud que causó la entrada del registro.
log_idID del registro del evento.
organization_idID de la organización relacionado con el evento.
user_idID de usuario relacionado con el evento.
user_nameNombre del usuario relacionado con el evento.
user_agentAgente de usuario relacionado con el evento.
strategyEstrategia de conexión relacionada con el evento.
strategy_typeTipo de estrategia de conexión relacionada con el evento.
typeTipo de evento.

Campos en los que se pueden buscar términos sin especificar un campo

Si se introduce un término de búsqueda sin un nombre de campo, solo se buscará en los siguientes campos:
  • client_name
  • connection
  • description
  • ip
  • log_id
  • type
  • user_name

Coincidencia exacta

Para encontrar coincidencias exactas, use comillas dobles: description:"Username invalid". Por ejemplo, para encontrar logs con la descripción Username invalid, use q=description:"Username invalid".

Comodines

Se pueden realizar búsquedas con comodines en términos usando el carácter de asterisco (*) para sustituir cero o más caracteres: user_name:john*. Se pueden usar para coincidencias por prefijo, por ejemplo user_name:j*. Para otros usos de los comodines (por ejemplo, coincidencias por sufijo), los literales deben tener 3 caracteres o más. Por ejemplo, se permite name:*usa, pero no name:*sa. El signo de interrogación (?) no es compatible. Por ejemplo, para encontrar todos los logs de usuarios cuyos usernames comienzan con john, use q=user_name:john*.

Rangos

Puede usar rangos en sus consultas de búsqueda de logs. Para los rangos inclusivos, use corchetes: [min TO max], y para los rangos exclusivos, use llaves: {min TO max}. Las llaves y los corchetes se pueden combinar en la misma expresión de rango. También puede usar comodines dentro de los rangos. Por ejemplo, para encontrar todos los logs desde el 18 de diciembre de 2018 hasta la fecha, use q=date:[2018-12-18 TO *]. Si desea buscar logs desde el inicio de su período de retención hasta el 19 de diciembre de 2018, sin incluir esa fecha, use q=date:[* TO 2018-12-19}.

Consultas de ejemplo

A continuación, se muestran algunos ejemplos de los tipos de consultas que puede realizar con la .
Caso de usoConsulta
Buscar todos los logs con conexiones que contengan “Pass”connection:*pass*
Buscar todos los logs de usuarios con un nombre de usuario que contenga “fred”user_name:*fred*
Buscar todos los logs con ID de usuario que coincida exactamente con “123”user_id:"123"
Buscar todos los logs con un tipo que comience por “s”type:s*
Buscar nombres de usuario que comiencen por “jane” y terminen en “smith”user_name:jane*smith
Buscar todos los logs de diciembre de 2018date:[2018-12 TO 2019-01-01}
Buscar todos los logs desde el 10 de diciembre de 2018 en adelantedate:[2018-12-10 TO *]
Buscar todos los logs desde el 1 de enero de 2019 a la 1:00 a. m. hasta el 1 de enero de 2019 a las 12:23:45, sin incluir esta última fecha y horadate:[2019-01-01T01:00:00 TO 2019-01-01T12:23:45}

Limitaciones

  • Si recibe el error 414 Request-URI Too Large, significa que su cadena de consulta supera la longitud admitida. En este caso, refine la búsqueda.
  • Los campos de registro no se tokenizan, por lo que description:rule no coincidirá con una descripción cuyo valor sea Create a rule ni Update a rule. En su lugar, use description:*rule. Consulte los comodines y la coincidencia exacta.
  • La extensión de campo .raw no es compatible. Los campos coinciden con el valor completo proporcionado y no se tokenizan.
Al llamar a los endpoints GET /api/v2/logs o GET /api/v2/users/{user_id}/logs con el parámetro include_totals, el resultado es un objeto JSON que contiene un resumen de los resultados y los logs solicitados. El objeto JSON tiene un aspecto similar a este: 
{
  "length": 5,
  "limit": 5,
  "logs": [...],
  "start": 0,
  "total": 5
}
Al buscar logs, el campo totals indica cuántos logs se devuelven en la página (de forma similar a lo que devuelve el campo length).

Más información