當我們已經成功將記錄傳送至 Graylog 進行儲存時，最令人開心的就是可以在 Graylog 的搜尋頁上利用各種方便的功能找出需要檢視的資料，節省大量的時間與操作步驟。

畫面概觀

搜尋功能頁提供了許多方便的功能讓我們使用，在預設的搜尋畫面上可以區分為這四個區塊：

搜尋功能頁

1. 搜尋工具
   提供多種搜尋工具，包括建立圖表或統計區塊 (Create)、 突顯搜尋文字 (Highlighting)、篩選或統計欄位 (Fields)...等等。不過在實務上我很少在這區取用這些工具，因為在主視窗內對各個區塊或資料點選滑鼠左鍵所彈出的選單，就已經內建相關功能的操作，更為快捷。

2. 搜尋列
   對於要找出的記錄提供時間範圍或搜尋語法，以便更精確的篩選出需要的結果。

3. 事件趨勢圖
   直條圖搭配時間軸的方式呈現每一個區間的事件統計，讓使用者可以相當直覺的看出資料異常的變化。

4. 詳細記錄
   顯示每一筆收到的詳細記錄，點選後可以展開細節。

搜尋列

進入搜尋功能後，預設條件會顯示最近 5 分鐘內的記錄事件，如要變更時間範圍，可以採用相對時間 (Relative)、絕對時間 (Absolute)、關鍵字 (Keyword) 三種方式。

相對時間範圍

在日常使用上，相對時間是最常使用的操作方式，預設是 5 分鐘，可以經由點選 時鐘按鈕右方的向下箭頭 (1)，在 彈出選單 (2) 上選擇需要的最近時間範圍，預設有 5分鐘、15分鐘、30分鐘、1小時、2小時、8小時、1天、2天、5天、7天、14天、30天、所有 可以選擇，選擇後會立即套用搜尋並顯示結果。

相對時間範圍

技巧：

若相對時間選單的範圍沒有想要的項目，可以從功能 System > Configurations > Search > Edit Configuration 進行修改。

絕對時間範圍

如果要明確指定要搜尋記錄的起迄時間範圍，請按下 時鐘按鈕 (1)，於彈出選單切換至 Absolute 頁籤 (2)，左方月曆 (3) 挑選起始日期時間，右方月曆 (4) 挑選結束日期時間，再按下 Update time Range 按鈕，即可套用於搜尋結果。

絕對時間範圍：以月曆選擇

除了從月曆中選擇之外，也可以按下 Timestamp (1) 切換至時間戳記選擇模式，接著在下方的兩個欄位分別填入日期時間，其格式為 年-月-日 時:分:秒:千分秒 YYYY-MM-DD [HH:mm:ss[.SSS]]，最後再按下 Update time range 即可。

絕對時間範圍：以時間戳記選擇

關鍵字時間範圍

除了上面兩種模式，有時候我們想要更直覺口語的方式指定範圍，輸入關鍵字方式宣告時間範圍可能會更加快速。

請按下 時鐘按鈕 (1)，於彈出選單切換至 Keyword 頁籤 (2)，在 Time range (3) 欄位中填入時間範圍關鍵字，輸入完成後下方的 Preview (4) 會自動計算出起迄日期時間。

關鍵字範圍

以下是較常使用的幾種關鍵字：

• last month：從 1 個月前到現在 (注意，是最近 1 個月而不是最近 30 或 31 天)
• 4 hors ago：從 4 個小時前到現在 (最近 4 小時)
• yesterday：從昨天到現在 (最近 24 小時)
• 6/1 to 2 days ago：從今年六月一日到兩天前

記錄自動更新

進來搜尋頁面或調整時間範圍後即會顯示記錄資料，接下來若有新的記錄傳送至 Graylog 並不會立刻顯示最新資料。若想要讓所見的資料有即時更新的效果，可以在搜尋列的右方按下顯示為 Not updaing 的 自動更新按鈕 (1)，在彈出選單中 (2) 挑出想要自動更新的頻率。

啟用記錄自動更新

當按下 自動更新按鈕 後會由原本的 Not updating 變更為剛剛所挑選的更新頻率 (1)，若需要讓它暫時停下時，按下該按紐左方的 暫停按鈕 (2) 即可停下，以利檢檢視目前資料。

暫停記錄自動更新

事件趨勢圖

在搜尋列的下方為時間趨勢圖，可以看出每一段時間記錄量的變化，在許多時候利用這種趨勢圖可以快速判斷問題可能性，例如帳戶認證失敗事件只有集中沒有系統管理員上班的時候，則很可能是惡意人士故意避開被發現的時候試圖暴力破解密碼。

事件趨勢圖

選取時間範圍

當我們對某一段時間範圍特別起疑，想要關注這段時間的事件時，除了參考上一節的方式挑選時間之外，也可以直接在時間趨勢圖當中直接挑選。

在時間趨勢圖想要挑選的起始處按下滑鼠左鍵 (1) 並拖曳往右方的預計結束時間處放開 (2)，Graylgo 會將這段選取的時間範圍自動帶入上方的時間欄位，並且立即套用顯示結果。

事件趨勢圖選取時間範圍

檢視時間區段

在時間趨勢圖中有許多直條圖，將滑鼠游標移過去並懸停，可以看出每個區段的記錄數量有多少筆，以及該區段的起始時間。

以下圖為例，選取的這一區段總共有 608 筆記錄，統計範圍由 21:52 起。

事件趨勢圖檢視記錄區段一

但問題來了，我要怎麼知道那一個區段是 5 分鐘為區段，還是 15 分鐘或 1 個小時？

這個簡單，我們把游標移往它右邊的那一個區段懸停，不就可以看出來了嗎？從下圖來看，下一個區段的起始時間為 21:54，因此我們可以簡單計算得出每一個區段是以 2 分鐘為統計範圍。

事件趨勢圖檢視記錄區段二

時間趨勢圖的區段預設為自動調整，依據搜尋的時間範圍長短 Graylog 會自動計算最佳的區段用以顯示。如果想要自行調整區段的長短，請點選時間趨勢圖右方的 編輯 (1) 按鈕，進入設定畫面。

進入時間趨勢圖編輯畫面

將 Interval 預設 Auto 取消勾選 (1)，下方會切換為自行指定區段的時間長短，以下圖修改為 1 Minutes (2) 為例，按下 Update preview (3) 後右方可以看到預覽結果，時間區段的變化明顯許多，能夠看到更多變化的細節。最後再按下 Update widget (4) 套用至搜尋頁面。

編輯時間趨勢圖的區段

調整完成的結果，更加清楚反應細節變化。

調整區段後的時間趨勢圖

參考資料

• Time Frame Selector
  https://go2docs.graylog.org/current/making_sense_of_your_log_data/time_frame_selector.html