Теги используются для назначения имен конкретным полям и комбинациям значений. Эти поля могут относиться к типу события, хосту, источнику или типу источника и т. Д. Вы также можете использовать тег для группировки набора значений полей, чтобы их можно было искать с помощью одной команды. Например, вы можете пометить все различные файлы, сгенерированные в понедельник, тегом с именем mon_files.
Чтобы найти пару поле-значение, которую мы собираемся пометить, нам нужно развернуть события и найти поле, которое необходимо рассмотреть. На рисунке ниже показано, как мы можем расширить событие, чтобы увидеть поля —
Создание тегов
Мы можем создать теги, добавив значение тега к паре поле-значение, используя опцию Edit Tags, как показано ниже. Мы выбираем поле под столбцом Действия.
На следующем экране предлагается определить тег. Для поля Status мы выбираем значение состояния 503 или 505 и назначаем тег с именем server_error, как показано ниже. Мы должны сделать это одно за другим, выбрав два события, каждое с событиями со значениями состояния 503 и 505. На рисунке ниже показан метод для значения состояния как 503. Мы должны повторить те же шаги для события со значением состояния, как 505.
Поиск с использованием тегов
После того, как теги созданы, мы можем искать события, содержащие тег, просто написав имя тега в строке поиска. На изображении ниже мы видим все события, которые имеют статус: 503 или 505.