import repository from arizona
[raven.git] / apps / logmon / searchhelp.html
1 <style type="text/css">\r
2 <!--\r
3 .style1 {font-family: "Courier New", Courier, mono}\r
4 -->\r
5 </style>\r
6 <h2>Search Strings</h2>\r
7 <p>A search string is generally treated as an &quot;AND&quot; of all words (space-delimited substrings) of the search string. The following modifiers can be used when placed immediately in front of a word. Do not place spaces between the modifiers and the substrings. </p>\r
8 <table width="501" border="1">\r
9   <tr>\r
10     <td width="52">Modifier</td>\r
11     <td width="52">Meaning</td>\r
12     <td width="375">Description</td>\r
13   </tr>\r
14   <tr>\r
15     <td><div align="center"><strong>+</strong></div></td>\r
16     <td>&nbsp;</td>\r
17     <td>&nbsp;</td>\r
18   </tr>\r
19   <tr>\r
20     <td><div align="center"><strong>-</strong></div></td>\r
21     <td>NOT</td>\r
22     <td>return lines that do not match the substring</td>\r
23   </tr>\r
24   <tr>\r
25     <td><div align="center"><strong>|</strong></div></td>\r
26     <td>OR</td>\r
27     <td>return lines that optionally include this substring.</td>\r
28   </tr>\r
29   <tr>\r
30     <td><div align="center"><strong>field:</strong></div></td>\r
31     <td>&nbsp;</td>\r
32     <td>specifies a particular field to search, for example &quot;kind:exception:&quot; </td>\r
33   </tr>\r
34   <tr>\r
35     <td><div align="center"><strong>field:=</strong></div></td>\r
36     <td>&nbsp;</td>\r
37     <td>specifies a particular field for an exact match, for example &quot;kind:=exception&quot;</td>\r
38   </tr>\r
39   <tr>\r
40     <td><div align="center"><strong>^</strong></div></td>\r
41     <td>JOIN</td>\r
42     <td>return only lines for hostnames that also match a second query</td>\r
43   </tr>\r
44 </table>\r
45 <p> By default unless a field specifier is used, the following fields will be searched: <em>hostname, program, log, kind, msg</em>. Some examples:</p>\r
46 <ul>\r
47   <li><span class="style1">exception</span>  </li>\r
48   <blockquote>\r
49     <p>Return all log records with the string &quot;exception&quot; in any of the default fields (hostname, program, log, kind, msg) </p>\r
50   </blockquote>\r
51   <li><span class="style1">blocked -sfagids </span>    \r
52     <blockquote>\r
53       <p>Return all log records with the string &quot;blocked&quot;, but not the string &quot;sfagids&quot; </p>\r
54     </blockquote>\r
55   </li>\r
56   <li><span class="style1">exception planetlab2.cs.uoregon.edu</span></li>\r
57   <blockquote>\r
58     <p>Return all log records witht he string &quot;exception&quot; and the string &quot;planetlab2.cs.uoregon.edu&quot; </p>\r
59   </blockquote>\r
60   <li><span class="style1">|planetlab2.cs.uoregon.edu |planetlab3.cs.uoregon.edu  </span></li>\r
61   <blockquote>\r
62     <p>Return log records with the string &quot;planetlab2.cs.uoregon.edu&quot; or &quot;planetlab3.cs.uoregon.edu&quot;</p>\r
63   </blockquote>\r
64   <li><span class="style1">kind:logmon program:kernel </span>    \r
65   </li>\r
66 </ul>\r
67 <ul>\r
68   <blockquote>\r
69     <p>Return all log records with &quot;internal&quot; in the field kind, and &quot;kernel&quot; in the field program. </p>\r
70   </blockquote>\r
71   <li><span class="style1">kind:=exception\r
72   </span>    \r
73     <blockquote>\r
74       <p>Returns log entries where kind matches exactly &quot;exception&quot;. For example, does not match &quot;disk_exception&quot;. </p>\r
75     </blockquote>\r
76   </li>\r
77 </ul>\r
78 <h3>Joined Queries</h3>\r
79 <p>The Join operator (^) performs an internal SQL join on the table to only return lines that contain hostnames that match a second query. The joins are all ANDed together. Some examples of joined queries:</p>\r
80 <ul>\r
81   <li><span class="style1">kind:blocked ^program:kernel ^msg:2.6.32 </span>    \r
82     <blockquote>\r
83       <p>Return log entires for &quot;blocked&quot; processes, where the host is also running a 2.6.32 kernel</p>\r
84     </blockquote>\r
85   </li>\r
86   <li><span class="style1">kind:blocked ^kind:exception\r
87   </span>    \r
88     <blockquote>\r
89       <p>Return log entries for &quot;blocked&quot; processes, where the host is also experiencing exceptions </p>\r
90     </blockquote>\r
91   </li>\r
92 </ul>\r
93 <p>&nbsp; </p>\r