概述

本文主要介绍在日志服务控制台中使用日志查询功能时,查询不到日志数据的排查思路。

详细信息

请按照以下步骤进行排查。

未成功采集日志数据

如果未成功采集日志数据到日志服务,则无法查询到目标日志。请在预览界面查看是否有日志数据。如果有日志数据,说明日志数据已成功采集到日志服务中,建议您排查其他原因。若没有日志数据,可能是以下原因造成,请进一步排查:

  • 日志源没有产生日志数据。

    日志源没有日志产生的情况下,日志不可以投递到日志服务。请检查您的日志源。

  • Logtail无心跳。

    请在机器组状态页面中查看机器是否有心跳。若Logtail无心跳,请参见Logtail机器无心跳

  • 监控文件没实时写入。

    如果监控文件没实时写入,请登录服务器,打开/usr/local/ilogtail/ilogtail.LOG日志文件,查看报错信息。常见错误如下:

    • parse delimiter log fail:分割符收集日志错误。
    • parse regex log fail:正则收集日志错误。

分词设置错误

查看已经设置好的分词符,根据分词符对日志内容进行分割后,是否得到关键字。例如分割符为默认的,;=()[]{}?@&<>/:’,如果日志中有abc”defg,hij会被分割成abc”defghij两部分,使用abc搜索不到这条日志。日志服务还支持模糊查询,详情请参见查询语法

 
说明:
  • 为了节约您的索引费用,日志服务进行了索引优化,配置了字段索引的Key,不进行全文索引。例如,日志中有名为message的key,并且配置了字段索引,加了空格做分词(加空格做分词,请把空格加到分词字符串的中间)。message: this is a test message可以使用key:value的格式message:this查询,但是直接查this查询不到,因为配置了字段索引的key,不进行全文索引。
  • 创建索引或者对索引做任何更改,只对新进的数据有效,旧数据一律无效。您可以查看索引属性,检查已设置的分词是否符合要求。

其他原因

如果有日志产生,可以先查询修改查询的时间范围。另外由于日志预览的功能数据是实时的,但是查询的功能有1分钟左右的延迟,可以在日志产生后,等待1分钟然后再查询。

适用于

  • 日志服务