搜索归档事件

“归档搜索”是一种从归档文件中跟踪特定事件的有效方式。与将文件加载到数据库中的“恢复归档事件”选项不同，此处的归档文件将被索引并因此可以被搜索，以更快地跟踪任何特定事件。此功能还使您能够从所有日志类别中进行搜索。

注意:

• 归档文件应该被索引以便被搜索或作为报表被查看。
• 文件被索引后，可以通过同一页面上可用的左侧页面链接将其作为报表查看。
• “搜索归档事件”中的索引归档文件不会在“报表”选项卡下显示报表。要查看“报表”标签下的报表，请使用“恢复归档事件”链接。
• 每个日志类别最多可以索引 50 个文件。每个归档文件在编制索引时将占用 40MB 到 70MB 的空间。
• 默认情况下，索引文件将存储在产品安装目录中，要更改它，请使用“搜索索引文件”页面下的“设置”链接。
• 在编制索引之前，请确保安装目录/配置位置中有足够的可用空间。

如何执行归档搜索

步骤:

1. 点击管理标签 → “搜索归档事件”。
2. 点击“搜索索引文件”，根据您的要求选择时间范围和日志类别。
3. 选择所需的文件（每个类别最多 50 个文件）并点击动作列下的索引图标。
4. 当索引文件计划加载时，将在同一链接的状态栏中更新状态。
5. 一旦文件被索引，就可以通过同一页上的左侧页面链接将其作为报表查看(与还原存档事件不同，一旦恢复，报表就可以在“报表”标签下查看)。
6. 使用每个报表中的搜索栏可以精确跟踪任何特定事件。

归档全局搜索

此链接允许您跨所有日志类别搜索查询。搜索查询时，首先会显示所有日志类别的查询结果摘要，可以进一步深入查看实际报表。

搜索框

简单搜索

步骤:

1. 从左侧下拉框中选择搜索字段和运算符(将鼠标悬停在左侧框上可打开下拉框)。
   
   
   
   
2. 在搜索框中输入搜索文本，然后点击绿色搜索图标。
   
   

   下面将显示与搜索相关的报表。

注意:

• 搜索框支持通配符 * 和 ?

  例如
  - "ad*" 将获取所有以“ad”开头的文本，如admin、administrator、adon等。
  - 而“ad*n”将获取所有以“ad”开头、以“n”结尾的文本，如admin、adon等。

• 如果搜索文本包含多个用空格分隔的单词，请用双引号括起来。

高级搜索

步骤:

1. 要进行多查询搜索，请在键入搜索文本后点击“AND/OR”按钮。这将打开一个高级搜索面板。
   
   
   
   
2. 在下面的搜索框中键入搜索文本，然后点击AND/OR按钮将其附加到上面显示的查询中。
   
   
   
   
   
   
3. 要对查询进行分组，请根据需要拖动并放置方括号。
   
   
   
   
   
   
4. 要删除任何查询，请将鼠标悬停在查询上以显示删除按钮。
   
   
   
   
5. 要更改操作符，请点击操作符在操作符之间切换。
6. 查询准备好后，点击搜索按钮获取查询的报表。