如何精确查询日志？

当您要精确查询包含多个关键字的日志时，您可以使用like语法进行查询。

• 日志样例

  body_bytes_sent:1061
  http_user_agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU) AppleWebKit/533.18.1 (KHTML, like Gecko) Version/5.0.2 Safari/533.18.5
  remote_addr:192.0.2.2
  remote_user:vd_yw
  request_method:DELETE
  request_uri:/request/path-1/file-5
  status:207
  time_local:10/Jun/2021:19:10:59

• 查询需求

  查询http_user_agent字段值中包含like Gecko的日志。

• 错误的查询语句

   "like" and "Gecko"

  使用该查询语句，无法精确查询，查询结果将包含like Gecko、Gecko like、like abc Gecko和Gecko abc like 的日志。

• 正确的查询语句

  * | Select * where http_user_agent like '%like Gecko%'

  其中，http_user_agent为日志字段。

  like语法满足标准的SQL like语法，在like语法中百分号（%）代表任意个字符。下划线 （_）代表单个字符。