如何在查询时判断日志的来源机器
如果通过Logtail采集日志时,机器组类型为IP地址机器组,机器组中的机器通过内网IP区分。在查询时,可以通过hostname和自定义配置的工作IP来判断日志的来源机器。
例如,统计日志中不同hostname出现的次数。
说明 需要提前开启日志索引功能并给__tag__:__hostname__字段开启统计功能。
* | select "__tag__:__hostname__" , count(1) as count group by "__tag__:__hostname__"如何在日志数据中搜索IP地址?
在日志数据中搜索IP地址,支持全部匹配的方式检索。您可以直接在日志数据中直接搜索指定IP地址相关的日志信息,比如包含指定IP地址、过滤指定IP地址等。但是目前尚不支持部分匹配的方式检索,即不能直接搜索IP地址的一部分,因为小数点不是日志服务默认的分词项。如果需要的话,建议自行过滤,比如用SDK先下载数据,然后在代码里用正则或者用string.indexof等方法判断。
例如,在日志服务的Project中搜索条件如下。
not ip:121.42.0 not status:200 not 360jk not DNSPod-Monitor not status:302 not jiankongbao
not 301 and status:403搜索结果中仍会出现121.42.0网段地址。因为日志服务会认为121.42.0.x是一个词,所以只有搜121.42.0.x能搜到结果,而121.42.0的话不会搜到这个结果,同理加上not也就不会过滤该地址。
如何在日志中搜索包含空格的关键字?
搜索包含空格的关键字时,如果直接搜索,则会得到包含空格左侧关键字或右侧关键字的所有日志。建议您在查询的包含空格的关键字时,把关键字用双引号包裹起来,将引号中的内容作为一个关键字进行搜索,搜索结果就是符合条件的日志内容。
例如,在以下日志中搜索包含关键字POS version的日志。
post():351]: device_id: BTAddr : B6:xF:xx:65:xx:A1 IMEI : 35847xx22xx81x9 WifiAddr : 4c:xx:0e:xx:4e:xx | user_id: bb07263xxd2axx43xx9exxea26e39e5f POS version:903如果直接搜索POS version,则会得到包含POS或者version的所有日志,不符合搜索要求。如果搜索"POS version",则会得到包含关键字POS version的所有日志。
如何完成双重条件检索?
双重条件检索时,只需同时输入两个语句即可。
例如,需要在Logstore中搜索数据状态不是OK或者Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。
日志服务提供哪些渠道查询采集的日志?
日志服务提供了三种方式查询日志:
- 通过日志服务控制台查询。
- 通过SDK查询。
- 通过Restful API查询。
在文档使用中是否遇到以下问题
更多建议
匿名提交