Объем данных, регистрируемых в журналах, как правило, значителен, поэтому в стандартном режиме просмотра отображается лишь часть доступных полей. Для быстрого доступа к необходимой информации в UserGate DCFW предусмотрены средства поиска и фильтрации журналов. Поиск может выполняться как в простом, так и в расширенном режиме.

В режиме простого поиска фильтрация записей осуществляется с помощью графического интерфейса. Настройка условий поиска выполняется в удобной форме и не требует знания специальных команд или синтаксиса.

Для создания более сложных условий отбора предназначен режим расширенного поиска, использующий специализированный язык запросов. В этом режиме доступны поля журналов, которые не отображаются и не могут использоваться в стандартном режиме поиска. Запросы формируются с использованием имен полей, их значений, ключевых слов и логических операторов. Значения, содержащие пробелы, необходимо заключать в одинарные (' ') или двойные (" ") кавычки. Для значений без пробелов кавычки не требуются. Для объединения и группировки нескольких условий в запросе можно использовать круглые скобки.

Ключевые слова отделяются пробелами и могут быть следующими:

Ключевые поля	Значение
`AND` или `and`	Логическое «И», требует выполнение всех условий, заданных в запросе
`OR` или `or`	Логическое «ИЛИ», требует выполнение одного из условий запроса

Операторы определяют условия фильтра и могут быть следующими:

Оператор	Значение
`=`	Равно — требует полного совпадения значения поля с указанным значением. Пример: `ip = 172.16.31.1`. Будут отображены все записи журнала, в которых поле `ip` будет точно соответствовать значению `172.16.31.1`
`!=`	Не равно — значение поля не должно совпадать с указанным значением. Пример: `ip != 172.16.31`. Будут отображены все записи журнала, в которых поле `ip` не будет равно значению `172.16.31.1`
`<=`	Меньше либо равно — значение поля должно быть меньше или равно указанному в запросе значению. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п. Пример: `date <= '2019-03-28T20:59:59' AND statusCode = 303`
`>=`	Больше либо равно — значение поля должно быть больше или равно указанному в запросе значению. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п. Пример: `date >= "2019-03-13T21:00:00" AND statusCode = 200`
`<`	Меньше — значение поля должно быть меньше указанного в запросе значения. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п. Пример: `date < '2019-03-28T20:59:59' AND statusCode = 404`
`>`	Больше — значение поля должно быть больше указанного в запросе значения. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п. Пример: `(statusCode > 200 AND statusCode < 300) OR (statusCode = 404)`
`IN`	Позволяет указать в запросе несколько значений поля. Список значений необходимо заключать в круглые скобки. Пример: `category IN (botnets, compromised, 'illegal software', 'phishing and fraud',' reputation high risk', 'unknown category')`
`NOT IN`	Позволяет указать в запросе несколько значений поля. Будут отображены записи, в которых значение поля не совпадает ни с одним из указанных. Список значений необходимо заключать в круглые скобки. Пример: `category NOT IN (botnets, compromised, 'illegal software', 'phishing and fraud', 'reputation high risk', 'unknown category')`
`~`	Содержит — позволяет указать подстроку, которая должна присутствовать в значении выбранного поля. Поиск выполняется без учета регистра. Пример: `browser ~ "Mozilla/5.0"`. Оператор применяется только к полям, содержащим строковые значения
`!~`	Не содержит — позволяет указать подстроку, которая не должна присутствовать в значении выбранного поля. Поиск выполняется без учета регистра. Пример: `browser !~ "Mozilla/5.0"`. Оператор применяется только к полям, содержащим строковые значения
`MATCH`	Поиск по полю с помощью регулярного выражения. Будут показаны только те записи, в которых значение поля соответствует заданному шаблону. Пример: `details MATCH NAT` — будут отфильтрованы все записи журнала, в которых в проверяемом поле `details` найдется слово «NAT»
`NOT MATCH`	Поиск записей, в которых значение поля не совпадает с заданным регулярным выражением. Будут показаны только те записи, в которых значение поля не соответствует заданному шаблону. Пример: `details NOT MATCH NAT` — будут отфильтрованы все записи журнала, в которых в проверяемом поле `details` не найдется слово «NAT»

При формировании запроса в режиме расширенного поиска UserGate DCFW предлагает варианты названий полей, допустимых операторов и возможных значений. Это упрощает создание сложных поисковых выражений и снижает вероятность ошибок при вводе. Набор доступных полей и перечень допустимых значений зависят от типа просматриваемого журнала.

При переходе из режима простого поиска в режим расширенного поиска UserGate DCFW автоматически преобразует заданные параметры фильтрации в строку запроса, соответствующую условиям, указанным в базовом режиме. Вы можете продолжить формирование строки поиска с использованием расширенных возможностей языка запросов без необходимости повторного ввода критериев отбора.