最近更新时间:2024.01.30 10:05:14
首次发布时间:2024.01.22 17:18:37
日志服务在日志检索的基础上提供实时数据分析能力,支持海量日志数据的实时检索与分析,基于日志检索结果进行 SQL 分析与计算,并以分析图表的方式展示分析结果。
注意
日志服务产品架构升级,支持更丰富的检索分析功能。
关于 1.0 架构与 2.0 架构的具体说明,请参考日志服务架构升级通知。
限制项 | 说明 |
|---|---|
操作并发数 | 单个 Topic 中,分析操作的并发数限制为 15。 |
数据生效机制 | 分析功能只对开启统计功能后写入的数据生效。对于未打开统计功能的字段,SQL 分析结果展示为空。 |
SQL 分析仅对最新版本索引对应的数据生效。修改索引之前的数据可检索,不参与 SQL 分析。 | |
超时时间 | 查询操作的超时时间为 55s。 |
结果条数 | 每次分析时,默认返回结果 100 条。 |
在日志服务的检索分析页面中输入检索分析语句,并指定日志的时间范围和日志主题即可进行实时的日志检索与分析。具体操作步骤请参考分析日志。
检索分析语句由检索条件和 SQL 分析语句构成,两者通过英文竖线(|)分割,表示在检索条件筛选过的数据中进行分析与计算。
检索分析语句的结构:
&{检索条件} | &{SQL分析语句}
其中:
如果需要分析日志数据,则必须同时输入检索条件和 SQL 分析语句。
说明
from 子句,默认分析指定日志主题中的数据。嵌套查询的最内层除外,即在嵌套子查询中,SELECT 语句中必须指定 FROM 子句。'time' 代表字符串,time 或 "time" 代表字段名或列名。检索分析语句示例:
分析范围 | 检索分析语句示例 | 说明 |
|---|---|---|
基于全量数据进行日志分析 |
| 统计不同状态码的访问次数。 |
基于检索结果进行日志分析 |
| 在状态码为 200 的请求中统计访问次数。 |
日志服务支持多种 SQL 分析函数和语法。
函数 | 说明 |
|---|---|
对一组值执行计算并返回单一的值。 | |
支持对日志中的日期和时间进行格式转换,分组聚合等处理。 | |
支持使用指定的分隔符对字符串进行拆分。 | |
通过正则表达式匹配进行字符串替换等操作。 | |
对数值类数据进行同比、环比。 | |
计算数值类数据。 | |
对数值进行统计学分析与计算。 | |
解析数组形式的数据。 | |
解析 JSON 格式等数据。 | |
通过 IP 地址分析其所属城市、国家、运营商等信息。 | |
支持 URL 中进行提取、编码解码等分析操作。 | |
对数值类数据进行估算。 | |
解析二进制类型的数据。 | |
对二进制类型的数据进行 AND、OR、NOT 等位运算。 | |
对经纬度进行 Geohash 编码。 | |
支持 BAR、COLOR 等颜色函数 | |
分析中国内地地域电话号码的归属地、运营商等信息。 | |
换算数据量或时间间隔的单位。 | |
支持在滑动的时间窗口中查询事件链并计算事件链中发生的最大连续事件数。 | |
支持加法、减法、乘法、除法等运算。 | |
支持多种比较运算符,用于判断值的大小关系。 | |
支持 AND、OR 和 NOT 逻辑运算。 |
语法 | 说明 |
|---|---|
从表中选取列数据,默认从当前日志主题中选取符合筛选条件的数据。 | |
为指定的字段名称指定别名。 | |
结合聚合函数,根据一个或多个字段对查询分析的结果进行分组。 | |
根据指定的字段名对检索和分析结果进行排序。 | |
限制由 SELECT 语句返回的数据数量,即输出结果的行数。 | |
在 SELECT 子句中使用,用于对某一列去重。 | |
提取满足指定条件的日志。 | |
将一个 SELECT 语句嵌套在另一个 SELECT 语句中,表示先对原始数据进行 SELECT 统计分析,再基于分析结果进行二次统计分析。 | |
用于连表查询。 | |
合并多个 SELECT 子句的分析结果。 |