總覽

臨時關鍵字搜索功能使您可以在一個案例中針對所有圖像運行單個關鍵字詞或關鍵字列表。這兩個選項都位于“驗尸”主窗口的右上方。

該關鍵字搜索模塊必須攝取過程中做一個特設關鍵詞搜索之前選擇。如果您不想搜索任何現有的關鍵字列表，則可以取消選擇所有內容以僅索引文件以供以后搜索。

建立關鍵字

以下各節將對每種關鍵字類型進行描述，然后顯示一些示例文本以及各種搜索詞將如何對其進行操作。

完全符合

如果期望搜索詞始終被非單詞字符（通常為空白或標點符號）包圍，則應使用完全匹配。搜索項中允許使用空格/標點符號，并且忽略大小寫。

快紅褐色的狐貍跳過了那只懶狗。

• “快速”，“棕色”，“狗”將匹配
• “ FOX”，“ Fox”，“ fox”將全部匹配
• “紅棕狐貍”，“棕狐貍”，“ LAZY DOG”將匹配
• “ rown”和“ lazy do”將不匹配，因為它們不受文本中非單詞字符的限制

子串匹配

如果搜索詞只是單詞的一部分，則應使用子字符串匹配，或允許使用不同的單詞結尾。大寫字母被忽略，但搜索詞中不能出現空格和其他標點符號。

快紅褐色的狐貍跳過了那只懶狗。

• “跳轉”將匹配“跳轉”，也將匹配“跳轉”，“跳轉”等。
• “狗”將匹配
• “ UMP”，“ oX”將匹配
• “ y dog”，“ ish-brown”將不匹配

正則表達式匹配

正則表達式匹配可用于搜索特定模式。使用Lucene Regex語法支持正則表達式，該文檔在此處記錄：https : //www.elastic.co/guide/zh-cn/elasticsearch/reference/1.6/query-dsl-regexp-query.html#regexp-syntax。通配符會自動添加到正則表達式的開頭和結尾，以確保找到所有匹配項。另外，結果命中在公共標記分隔符邊界（例如空格，換行符，冒號，感嘆號等）上劃分，以使結果關鍵詞命中更易于突出顯示。從尸檢4.9開始，正則表達式搜索不再區分大小寫。這包括文字字符和字符類。

注意：自尸檢4.4開始，邊界字符（’^’和’$’）不再用作單詞邊界。以前，搜索“ ^ [0-9] {5} $”將返回所有五位數字字符串，并用某種類型的非單詞字符包圍。例如，“數字12345是..”將包含一個匹配項，而“ 123456789個人”將不包含匹配項。這是因為將正則表達式與文檔中的每個“單詞”進行了比較。在較新的版本中，文本不會在內部拆分為單詞，因此這種類型的搜索不再起作用。要獲得相似的結果，請用應代表分詞符的特定字符替換邊界字符。例如，“ ^ [0-9] {5} $”可以變成“ [\。-\，] [0-9] {5} [\。-\，]”。

正則表達式上有一些驗證，但最好在示例圖像上進行測試，以確保您的正則表達式正確無誤并能按預期工作。一種簡單的測試方法是創建一個表達式應匹配的示例文本文件，將其作為“ 邏輯文件集”提取，然后運行正則表達式查詢。

1885年，在一篇名為Current Notes的文章中，這只棕色的狐貍第一次越過了那只懶狗。

• 由于搜索不區分大小寫，因此“ fox”和“ FOX”都將匹配
• “ qu.ck”，“ cu。* es”將匹配
• “ [JLK]已跳出”將匹配“跳出”
• “ [0-9] {4}”將匹配1885。不支持字符類，例如“ \ d”。還不支持反向引用（但不會產生錯誤），因此“ Cu（。）\ 1ent”將無法找到“當前”

其他注意事項

內置關鍵字

該關鍵字搜索模塊具有幾個內置的不能被編輯的搜索。最容易出現錯誤命中的字符（IP地址和電話號碼）要求匹配的文本用邊界字符包圍，例如空格或某些標點符號。例如：

• “地址10.1.5.127不可用”-內置IP地址搜索將找到“ 10.1.5.127”，因為它被空白包圍
• “ abc10.1.7.99xyz”-內置IP地址搜索找不到它，因為它被字母包圍

如果要覆蓋此默認行為：

• 復制現有的正則表達式。最簡單的方法是單擊“關鍵字列表”，單擊所需的列表，然后單擊所需的特定條目，然后按Control + c復制。之后將需要一些清理。
• 刪除正則表達式開頭和結尾的邊界字符
• 創建一個包含結果的新關鍵字列表，然后在攝取期間或通過“關鍵字列表”按鈕運行它。

非拉丁文字

通常，所有三種類型的關鍵字搜索都可以按預期工作，但是尚未對所有字符集進行全面測試。例如，搜索可能不再是不區分大小寫的。與上面的正則表達式一樣，我們建議對示例文件進行測試。

關鍵詞搜索

可以使用搜索文本框小部件快速搜索單個關鍵字或正則表達式。您可以選擇“完全匹配”，“子字符串匹配”和“正則表達式”匹配。有關每種關鍵字類型的信息，請參見前面的“ 創建關鍵字”部分。通過選中底部附近的復選框，然后突出顯示要在其中搜索的數據源，可以將搜索限制為僅某些數據源。可以使用shift +鼠標左鍵或Control +鼠標左鍵來選擇多個數據源。“保存搜索結果”復選框確定是否將搜索結果保存到案例數據庫。

將為執行的每個搜索在單獨的結果查看器中打開結果。如果啟用了“保存搜索結果”復選框，結果也將保存在目錄樹中，如下面的屏幕快照所示。

關鍵字清單

除了在攝取期間被選擇之外，關鍵字列表還可以通過“關鍵字列表”按鈕運行。有關設置這些關鍵字列表的信息，請參閱攝取模塊文檔的“ 列表”選項卡部分。

用戶可以通過按下“關鍵字列表”按鈕并選擇與要搜索的列表相對應的復選框，來手動搜索使用“關鍵字搜索配置對話框”創建的列表。通過選中底部附近的復選框，然后突出顯示要在其中搜索的數據源，可以將搜索限制為僅某些數據源。可以使用shift +鼠標左鍵或Control +鼠標左鍵來選擇多個數據源。完成所有配置后，按“搜索”開始搜索。“保存搜索結果”復選框確定是否將搜索結果保存到案例數據庫。

如果啟用了“保存搜索結果”復選框，則關鍵字列表搜索的結果將顯示在樹中，如下所示。

在攝取期間進行臨時搜索

臨時搜索旨在在攝取完成后使用，但在攝取正在進行時可以有限的容量使用。

使用當前索引，可以在正在進行提取的同時執行對各個關鍵字或正則表達式的手動關鍵字搜索。但是請注意，如果尚未填充整個索引，則可能會錯過一些結果。尸檢使您可以對不完整的索引執行搜索，以便實時檢索一些初步結果。

提取期間，使用關鍵字列表進行的常規手動搜索的行為與提取完成后的行為不同。可以將選定列表添加到攝取過程中，而不是在后臺進行搜索。

提取期間，大多數關鍵字管理功能均被禁用。您不能編輯關鍵字列表，但可以創建新列表（但不能添加到它們）以及復制和導出現有列表。