You need to enable JavaScript to run this app.
导航
日志服务
  • 文档首页
    • /
  • 日志服务

检索日志

最近更新时间2024.01.22 17:18:37

首次发布时间2024.01.22 17:18:37

我的收藏

成功采集到日志数据并正确配置索引之后,您可以在日志服务控制台中实时查看采集到的日志数据,并通过检索条件查询指定时间范围的日志数据。本文介绍检索日志的操作步骤。

注意事项

日志数据在日志服务中的存储时间由日志项目的日志保存时间决定,已经过期删除的日志无法进行查询。

前提条件

  • 已创建日志项目和日志主题。
  • 已通过 LogCollector 或其他方式采集到日志数据。
  • 检索日志之前,必须先开启索引。开启索引的操作步骤,请参考配置索引

操作步骤

  1. 登录日志服务控制台
  2. 在左侧导航栏中选择日志服务 > 日志项目管理
  3. 单击指定日志项目名称。
  4. 在左侧导航栏中选择检索分析
    您也可以在日志主题列表中,找到指定主题,并在其对应的操作列单击检索分析
  5. 日志主题一栏中选择日志主题名称。
  6. 指定时间范围。
    时间范围默认为 5 分钟,您也可以自定义检索的时间范围。当指定的时间范围超出日志数据的保存时间时,过期删除的数据不会被检索到。
  7. 指定检索条件,并单击检索分析
    日志服务支持的检索方式请参考检索概述,支持的检索语法请参考检索语法
    • 只需要检索日志、不需要统计分析时,可省略其中的管道符 | 及 SQL 语句,仅输入检索条件即可。
    • 检索条件为空,表示查询指定时间范围内的所有日志。

查看检索结果

检索日志后,您可以在原始日志页签中查看检索结果。
日志数据大约1分钟上报一次,如果原始日志页签中没有实时数据,请等待一分钟后刷新重试。

日志直方图

日志直方图用于展示符合查询条件的日志在不同时间段的分布情况。如果无需展示直方图,可以单击隐藏图表。

  • 鼠标指向某一蓝色数据块时,可以查看该数据块代表的时间范围、该时间段内符合查询条件的数量和本次检索是否精确。
  • 单击某一蓝色数据块,可以下钻查看该时间段内更细粒度的日志分布情况,同时原始日志页签中也会同步展示指定时间范围内命中的原始日志信息。

其中,查询结果表示当前返回的数据结果是否精确。

  • 结果精确:已返回指定时段内符合查询条件的所有结果。
  • 结果不精确:
    • 符合条件的数据量超出返回数据量限制,建议缩小时间范围再次查询。
      日志服务检索日志时返回的数据量限制为 20 MiB 或 1 万条,超出任一限制时,日志服务会返回部分数据,并在页面显示结果不精确,此时建议缩小查询时间范围,再次查询,直到返回精确的结果。
    • SQL 语法或数据类型错误,例如 max 和 min 函数应作用于 Double 类型字段。
  • 超时:查询范围内的数据量过大,或查询语法复杂、字段过多,超出了每个分区的数据处理能力。此时页面显示超时,建议您缩小时间范围并再次查询。

图片

原始日志与表格

页面默认以原始方式展示近 5 分钟内采集的日志数据,其中:

  • 时间列表示日志时间,即日志数据上报到服务端的时间或日志中记录的时间字段。
  • 日志内容列表示原始日志内容,其中也包括 __source__ 等预留字段,您可以针对日志数据进行实时查询与分析。默认开启换行,即所有日志字段换行展示,一个字段独占一行,显示更加直观。

原始日志页签中单击表格,以表格方式查看日志数据。表格方式中,日志时间和每个日志字段均作为独立的一列展示,对比多条日志的同一字段时更加直观。此外,您也可以进行以下设置:

  • 过滤空字段: 开启后,value 为空的字段不展示在原始日志页签中。
  • 添加到检索条件/从检索结果排除:原始方式查看日志时,选中某个 value ,并单击添加到检索条件,表示在检索结果中筛选包含该键值对的日志数据;单击从检索结果中排除,表示在检索结果中过滤掉包含该键值对的日志数据。设置后,日志服务会自动在检索结果中增加对应的筛选或过滤规则,支持在新标签页中查看此设置的结果。

图片

字段配置与快速分析

日志服务在原始日志页签中默认展示所有开启了索引的字段,为了更好的检索体验,您可以根据业务需求,指定在日志检索页面中显示和隐藏的字段,在不同的业务场景下都可以查看重点关注的字段数据。
该区域支持以下配置:

  • 字段的隐藏与展示:在显示字段中字段名称右侧单击隐藏图标,可以在检索分析结果中将该字段设为隐藏状态。在隐藏字段中字段名称右侧单击展示图标,该字段即可恢复显示。
  • 设置显示顺序:支持鼠标拖动字段,自定义设置字段之间的显示顺序。字段较多时,也可以通过搜索框快速定位指定字段。
  • 快速分析:单击字段名称即可快速分析该字段的各个值在最近一段时间内的分布情况。详细说明请参考快速分析

上下文查询

原始日志页签中,找到指定日志,并单击查询图标,可以查看指定日志在日志源文件中的上下文信息,即采集时间之前和之后的数条日志数据。详细说明请参考上下文查询

说明

仅 1.0.6 及后续版本的 LogCollector 采集到的日志支持上下文查询,通过 SDK 调用 PutLogs 接口等其他方式上传的日志数据不支持上下文查询。

图片

下载日志

原始日志分析图表页签的右上角单击下载日志,可以将原始日志数据或检索分析结果下载到本地,进行数据查看或进一步分析。
单击下载日志后,日志服务会创建一个当前检索分析结果的导出任务,导出数据到某个文件中。成功导出后,您可以在导出历史中查看并下载导出任务对应的文件。详细说明请参考下载日志