布尔运算符

 基本语法

 图中以及描述得很详细了。

日志检索高级查询语法

通配符查询：在一项内的单个字符用？去查，多个字符用*去查询，例如想查mysql和mssql就可以使用db_type:m?sql 去查询，而要查sql结尾就用 *sql  去查询，

范围查询：运用到方括号和to，例如查询192.168.0.0到192.168.255.255之间的所以ip就可以用

["192.168.0.0"]to["192.168.255.255"]   这个语句来查询，

例如下用这个+，需要写为/+，才能匹配到这个+。

 #威胁高级检索字段

is-web0attack，用于判断是web报警还是外联报警，就是它是命中ioc的还是命中规则的。

#网络协议的字段

 网络五元组：源IP地址，源端口，目的IP地址，目的端口和传输层协议

时间戳，是在入库的时间，就是日志采集器生成的时间。

#tcp协议和udp协议