---

基于Docker搭建Graylog的具体步骤：

https://blog.csdn.net/weixin_44876263/article/details/141638739?spm=1001.2014.3001.5502

一、Graylog配置用户管理

1、用户创建

2、角色权限管理

进一步细化角色的日志查看范围，给每个角色分配查看项目日志的权限

1. 创建一个新的记录流
   

2. 增加一个项目的索引集
   将不同项目（或不同类型的日志数据）使用不同的 index set（索引集）保存
   

3. 配置Stream采用的索引集
   

4. 选择流的筛选规则（可以设置多条）
   

5. 设置具体的规则信息
   

6. 查看规则或修改删除规则

7. 设置用户的查看权限
   

8. 测试用户查看权限设置成功，可以正常查看该项目的日志内容
   

二、搜索语法

📗官网文档

官方文档：https://docs.graylog.org/docs/query-language

📍注意事项

1. AND、OR 和 NOT 区分大小写，并且必须全部大写。关键词大小写敏感。检索内容大小写不敏感【取决于分词器】。
2. 下面一些符号必须使用反斜杠转义
   && || : \ / + - ! ( ) { } [ ] ^ " ~ * ?

搜索message字段

1. 搜索同时包含 邮箱 和 失败 的内容

message：邮箱 AND 失败

2. 搜索同时包含 邮箱 或 联系人的内容

message：邮箱 联系人

3. 搜索包含 “HTTP request” 短语的内容

message：“HTTP request”