Количество записей, регистрируемых в журналах, очень велико, и не все поля доступны в базовом режиме просмотра. UserGate SWG предоставляет удобные способы поиска и фильтрации необходимой информации. Вы можете использовать простой и расширенный поиск по содержимому журналов.

При использовании простого поиска используется графический интерфейс, чтобы задать фильтрацию по значениям требуемых полей журналов. Например, вы можете задать интересующий вас диапазон времени, список пользователей, категорий и т.п. Задание критериев поиска интуитивно понятно и не требует специальных знаний.

Построение более сложных фильтров возможно в режиме расширенного поиска с использованием специального языка запросов. В режиме расширенного поиска можно строить запросы с использованием полей журналов, которые недоступны в базовом режиме. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Значения полей могут быть введены с использованием одинарных или двойных кавычек, или без них, если значения не содержат пробелов. Для группировки нескольких условий можно использовать круглые скобки.

Ключевые слова отделяются пробелами и могут быть следующими:

Ключевое слово	Описание
AND или and	Логическое И, требует выполнения всех условий, заданных в запросе
OR или or	Логическое ИЛИ, достаточно выполнения одного из условий запроса

Операторы определяют условия фильтра и могут быть следующими:

Оператор	Описание
=	Равно. Требует полного совпадения значения поля указанному значению. Пример: `ip=172.16.31.1`. Будут отображены все записи журнала, в котором поле IP будет точно соответствовать значению 172.16.31.1
!=	Не равно. Значение указанного поля не должно совпадать с указанным значением. Пример: `ip!=172.16.31`. Будут отображены все записи журнала, в котором поле IP не будет равно значению 172.16.31.1
<=	Меньше либо равно. Значение поля должно быть меньше, либо равны указанному в запросе значению. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: `date<='2019-03-28T20:59:59' AND statusCode=303`
>=	Больше либо равно. Значение поля должно быть больше, либо равны указанному в запросе значению. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: `date>="2019-03-13T21:00:00" AND statusCode=200`
<	Меньше. Значение поля должно быть меньше указанного в запросе значения. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: `date < '2019-03-28T20:59:59' AND statusCode=404`
>	Больше. Значение поля должно быть больше указанного в запросе значения. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: `(statusCode>200 AND statusCode<300) OR (statusCode=404)`
IN	Позволяет указать несколько значений поля в запросе. Список значений необходимо указывать в круглых скобках. Пример: `category IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category')`
NOT IN	Позволяет указать несколько значений поля в запросе. Будут отображены записи, не содержащие указанные значения. Список значений необходимо указывать в круглых скобках. Пример: `category NOT IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category')`
~	Содержит. Позволяет указать подстроку, которая должна находиться в указанном поле. Этот оператор применим только к полям, в которых хранятся строковые данные. Пример: `browser ~ "Mozilla/5.0"`
!~	Не содержит. Позволяет указать подстроку, которая не должна присутствовать в указанном поле. Этот оператор применим только к полям, в которых хранятся строковые данные. Пример: `browser !~ "Mozilla/5.0"`
MATCH	При использовании оператора `MATCH` подстрока, которая должна присутствовать в указанном поле, задаётся в формате JSON с использованием одинарных кавычек. Пример: `details MATCH '\"module\":\"threats\"'` Синтаксис запросов с использованием этого оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2 по ссылке
NOT MATCH	При использовании оператора `NOT MATCH` подстрока, которая не должна присутствовать в указанном поле, задаётся в формате JSON с использованием одинарных кавычек. Пример: `details NOT MATCH '\"module\":\"threats\"'` Синтаксис запросов с использованием этого оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2 по ссылке

При составлении расширенного запроса UserGate SWG показывает возможные варианты названия полей, применимых к ним операторов и возможных значений, облегчая оператору системы формирование сложных запросов. Список полей и их возможных значений может отличаться для каждого из журналов.

При переключении режима поиска с основного на расширенный UserGate SWG автоматически формирует строку с поисковым запросом, которая соответствует фильтру, указанному в основном режиме поиска.