成功采集到日志数据并正确配置索引之后，您可以在日志服务控制台中实时查看采集到的日志数据，并通过检索条件查询指定时间范围的日志数据。本文介绍单主题检索日志的操作步骤。 ## 注意事项日志数据在日志服务中的存储时间由日志项目的**日志保存时间**决定，已经过期删除的日志无法检索。 ## 前提条件 * 已创建日志项目和日志主题。 * 已通过 LogCollector 或其他方式采集到日志数据。 * 检索日志之前，必须先开启索引。开启索引的操作步骤，请参考[配置索引](/docs/6470/1206703)。 ## 操作步骤 1. 登录[日志服务控制台](https://console.volcengine.com/tls)。 2. 在顶部导航栏中，选择日志服务所在的地域。 3. 在左侧导航栏中，选择**常用功能** \> **检索分析**。 4. 在**检索分析**页面的左侧列表中，选择指定的日志项目和日志主题。 5. 在日志主题的检索分析页面，指定时间范围。时间范围默认为 5 分钟，您也可以自定义检索的时间范围。日志数据的存储时间不在指定的查询时间范围内时，该数据不会被检索到。 6. 输入检索条件，并单击**搜索**。 * 支持使用智能助手辅助生成查询、检索语句，详情请参考[使用智能助手辅助生成检索分析语句（Copilot）](/docs/6470/1335026)。 * 支持的检索方式请参考[检索概述](/docs/6470/1206701)，支持的检索语法请参考[检索语法](/docs/6470/1206705)。 * 只检索日志，不做统计分析时，只需输入检索条件即可。 * 检索条件为空，表示查询指定时间范围内的所有日志。 ## 查看检索结果检索日志后，您可以在**原始日志**页签中查看检索结果。日志数据大约1分钟上报一次，如果**原始日志**页签中没有实时数据，请等待一分钟后刷新重试。 ### 日志直方图日志直方图用于展示符合检索条件的日志在不同时间段的分布情况。如果无需展示直方图，您可以单击**隐藏图表**。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/ded5336714cc492e8ea287ba46b46ff2~tplv-goo7wpa0wc-image.image =1350x) * 鼠标指向某一蓝色数据块时，可以查看该数据块代表的时间范围、该时间段内符合查询条件的数量和本次检索是否精确。 * 单击某一蓝色数据块，可以下钻查看该时间段内更细粒度的日志分布情况，同时**原始日志**页签中也会同步展示指定时间范围内命中的原始日志信息。 * **查询结果**为**精确**时，表示已返回指定时段内符合检索条件的所有结果。 :::tip 当**查询结果**为**不精确**时，您可以参考[提示“查询结果不精确”，如何解决？](/docs/6470/1126953#81d1b2c0)进行解决。 ::: * 耗时：展示本次检索所使用的时间。 * 超时：检索范围内的数据量过大，或检索语法复杂、字段过多，超出了每个分区的数据处理能力。此时页面显示**超时**，建议您缩小时间范围并再次执行检索。 ### 原始日志页面默认以**原始**方式展示近 5 分钟内采集的日志数据。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/b5a2bdfb0ca247fa81ff2c945ba2d4e7~tplv-goo7wpa0wc-image.image =1350x) |序号 |说明 | |---|---| |1 |单击**原始**或者**表格**，切换日志格式。|\ | |默认以**原始**方式展示日志。 | |2 |* 时间：支持按照升序或降序方式排列日志。|\ | |* 换行（仅**原始**格式）：系统默认开启**换行**，即各个日志字段换行展示，一个字段独占一行，显示更加直观。|\ | |* 紧凑布局（仅**原始**格式）：勾选**紧凑布局**后，系统将隐藏**时间**列，并在**日志内容**列展示日志时间。|\ | |* 过滤预置字段：勾选**过滤预置字段**后，系统将隐藏日志服务的预留字段。关于预留字段的详细说明，请参考[预留字段](/docs/6470/1208475)。|\ | |* 更多配置：|\ | | * 过滤空字段：勾选**过滤空字段**后，系统不会展示值为空的字段。|\ | | * 使用分页器翻页：勾选**使用分页器翻页**，您可以通过分页器进行翻页。|\ | | 每次查询时，默认最多返回 100 条日志。通过翻页最多可以获取 100,000 条日志。|\ | | ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/0bee1c044ee64101a6c4dbc2294b4f2e~tplv-goo7wpa0wc-image.image =442x) |\ | | * 表格排序（仅**表格**格式）：勾选**表格排序**后，表格支持前端单页排序。|\ | | * 平铺展示JSON类字段：勾选**平铺展示JSON类字段**后，系统将平铺展示 JSON 字段，平铺后的格式为 KEY1.KEY2，例如 `child_type.kind:"SERVER"`。|\ | | 仅对索引数据类型是 JSON 的字段生效。|\ | | * 树形展示JSON字段：勾选**树形展示JSON字段**后，系统将树形展示 JSON 字段。|\ | | 仅对索引数据类型是 JSON 的字段生效。|\ | | * 强制解析JSON字段：勾选**强制解析JSON字段**后，系统会将日志（json、数组）强行转换为 json 格式，不区分索引配置。查询结果的高亮显示可能会失效。|\ | | * 批量展开或折叠字段值（仅**原始**格式）：当字段值超长时，默认会被折叠展示，您可以在**更多配置**中单击**展开**，批量展开当前所有被折叠的字段值。被展开后的字段值，需要被折叠展示时，您可以单击**折叠**。|\ | | ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/6160d657f2ca4dae95b5745dfa656ada~tplv-goo7wpa0wc-image.image =212x) | |3 |单击日志时间前面的**展开**图标，系统将显示**原始日志**区域，您可以在**原始日志**区域中完成如下操作。|\ | |![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/143592afaacb4b3bb7346194bbb01033~tplv-goo7wpa0wc-image.image =657x) |\ | ||\ | |* 显示或隐藏指定的字段|\ | | 在**原始日志**区域单击目标字段前的眼睛图标，即可显示或隐藏原始日志中的指定字段。|\ | |* 复制value|\ | | 在**原始日志**区域单击目标字段前的复制图标，即可复制指定字段的value。|\ | |* 检索|\ | | 在**原始日志**区域单击目标字段前的检索图标，系统会将该字段的值作为检索条件进行检索。|\ | |* 添加检索|\ | | 在**原始日志**区域单击目标字段前的+图标，系统会将该键值对作为检索条件，并通过 AND 操作符拼接检索语句中。|\ | | 针对索引数据类型是 JSON 的字段，勾选**平铺展示JSON类字段**后，才支持一键添加检索。|\ | |* 从检索结果排除|\ | | 在**原始日志**区域单击目标字段前的\-图标，系统会将该键值对作为检索条件并通过 NOT 操作符拼接检索语句中。|\ | | 针对索引数据类型是 JSON 的字段，勾选**平铺展示JSON类字段**后，才支持一键排除检索。 | |4 |* 上下文查询：单击目标日志对应的**上下文查询**图标，可以查看指定日志在日志源文件中的上下文信息，即采集时间之前和之后的数条日志数据。详细说明请参考[检索指定日志的上下文](/docs/6470/1206706)。|\ | | :::tip|\ | | 仅 1.0.6 及后续版本的 LogCollector 采集到的日志支持上下文查询，通过 SDK 调用 PutLogs 接口等其他方式上传的日志数据不支持上下文查询。|\ | | :::|\ | |* 复制：单击目标日志对应的**复制**图标，可以复制单条日志到剪切板。复制后的日志文本为 JSON 格式。|\ | |* 展开或折叠字段值：单击目标日志对应的**展开**或**折叠**图标，展开或折叠此条日志的字段值。 | |5 |* 复制：支持复制整条字段值；当字段值被分词符分割后，支持复制分词。|\ | |* 检索：选中某个字段值后，单击**检索**，系统会将该字段值添加到检索语句中。|\ | |* 添加到检索条件：选中某个字段值后，单击**添加到检索条件**，系统会将该键值对作为检索条件，并通过 AND 操作符拼接检索语句中。|\ | |* 从检索结果排除：选中某个字段值后，单击**从检索结果排除**，系统会将该键值对作为检索条件并通过 NOT 操作符拼接检索语句中。 | |6 |* 下载日志：单击**下载日志**，可以将原始日志数据或检索分析结果下载到本地，进行数据查看或进一步分析。详细说明请参考[下载日志](/docs/6470/1206708)。|\ | |* 定时 SQL 分析：单击**存为定时SQL分析**，可创建定时 SQL 分析任务。详细说明，请参考[创建定时 SQL 分析数据存储至日志主题](/docs/6470/1130972)。 | |7 |* 快速分析：单击字段名称即可快速分析该字段的各个值在最近一段时间内的分布情况。详细说明请参考[快速分析指定日志字段](/docs/6470/1206707)。|\ | | 如果是 JSON 二级字段，为二级字段设置字段索引后，才支持在快速分析区域展示二级字段列表。|\ | |* 字段的隐藏与展示：在**显示字段**中字段名称右侧单击**隐藏**图标，可以在检索分析结果中将该字段设为隐藏状态。在**隐藏字段**中字段名称右侧单击**展示**图标，该字段即可恢复显示。|\ | |* 设置显示顺序：支持鼠标拖动字段，自定义设置字段之间的显示顺序。字段较多时，也可以通过搜索框快速定位指定字段。 | ### 按照高精度时间戳排序日志您在采集日志时，开启纳秒时间精度功能，然后在检索分析日志页面，选择**纳秒检索精度**，可实现日志按照纳秒时间戳排序。在采集时开启纳秒时间精度的具体操作，请参考[启用 LogCollector 高精度时间](/docs/6470/1285312)。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/bf9fa7f5f43f42b488ae93933fa2bae3~tplv-goo7wpa0wc-image.image =1350x)