标记用于将名称分配给特定的字段和值组合。这些字段可以是事件类型，主机，源或源类型等。您还可以使用标签将一组字段值组合在一起，以便可以使用一个命令搜索它们。例如，您可以将星期一生成的所有不同文件标记为名为mon_files的标记。

为了找到要标记的字段-值对，我们需要扩展事件并找到要考虑的字段。下图显示了我们如何扩展事件以查看字段-

创建标签

我们可以通过使用“编辑标签”选项将标签值添加到字段-值对中来创建标签，如下所示。我们选择“操作”列下的字段。

下一个屏幕提示我们定义标签。对于状态字段，我们选择状态值503或505，并分配一个名为server_error的标签，如下所示。我们必须通过选择两个事件来一个接一个地做，每个事件的状态值分别为503和505。下图显示了状态值为503的方法。我们必须对状态值为503的事件重复相同的步骤505。

使用标签搜索

创建标签后，我们只需在搜索栏中输入标签名称即可搜索包含标签的事件。在下图中，我们看到状态为503或505的所有事件。