日志查询_检索分析服务Elasticsearch版-阿里云帮助中心

通过日志查询，您可以可视化查询与分析指定数据流的日志数据。本文介绍如何进行日志查询。

前提条件

在日志查询页面，选择目标数据流，查看该数据流的日志。

日志查询页面可分为查询管理、分布直方图和数据分析3个部分区域。

各区域的功能如下。


序号	区域	功能
①	查询管理	切换查询对象查看写入异常日志搜索日志通过时间筛选日志查询/刷新日志数据分享snapshot
②	分布直方图	查看日志分布直方图
③	日志内容	筛选指定字段的日志查看日志原文操作日志原文

在页面顶部，单击当前数据流名称右侧的下拉图标图标，切换待查询的数据流。

打开查看写入异常日志开关，即可查看对应数据流在对应时间内的写入异常日志，详细信息请参见查看写入异常日志。

您可以通过两种方式搜索日志：

在搜索框中输入搜索条件，按下Enter键或单击右侧的查询/刷新。支持搜索联想功能，即搜索时系统会展示查询的历史记录，您可以单击该历史记录，快速查询同条件的日志。
单击筛选条件，在弹出框中输入筛选条件，单击搜索。

说明您可以同时通过以上两种方式搜索日志，系统展示两者查询结果的交集。

单击选择时间按钮（默认为15分钟（相对时间）），在弹出框中选择要查询哪个时间段内的日志。通过时间筛选日志

您可以选择相对时间和绝对时间：

单击页面右上角的分享snapshot图标图标，可复制当前查询条件（查询DSL、时间范围和筛选项）及查询对象（数据流信息）的网页快照URL链接。

您可以查看日志分布直方图：

日志分布直方图会展示日志的命中总数、时间范围以及柱状图时间间隔粒度。时间间隔粒度默认为自动适配，支持自定义选择。同时支持与图表进行交互：

通过字段筛选，您可以完成以下操作：字段筛选操作


序号	操作
①	搜索字段。
②	基于聚合、搜索、字段类型进行筛选，并展示筛选后的字段及统计。
③	将选定字段作为表格列。将鼠标hover到要添加的字段上，单击右侧的+图标，选定后日志内容展示区联动转变为表格模式，已添加字段在选定字段区域展示并支持删除。
④	展示字段值的词频统计，展示词频Top5的字段值和对应比例。说明仅支持统计并展示配置数据流查询字段时，开启聚合（doc_values）的字段，详情请参见数据流管理。
⑤	+：快捷添加`is:value`作为筛选条件。 -：快捷添加`is not:value`作为筛选条件。
⑥	隐藏字段列表。
⑦	日志占比N/M，N为包含目标字段的日志数，M为查询命中的日志总数。单击后，系统会快捷添加`exist:目标字段`作为筛选条件。

支持原文模式和表格两种模式展示。选定字段为空时，以原文模式展示；不为空时，以表格形式展示。两种模式都支持对应视图操作。日志原文展示

查看上下文：单击目标日志右侧操作列下的查看上下文，进入对应日志的上下文查询面板。上下文查询面板以日志主键作为标题，可分为查询管理区和日志原文区，各区域的功能说明如下。


序号	区域	功能说明
①	查询管理区	添加筛选条件：单击筛选条件，在弹出框中设置筛选条件，单击搜索，即可搜索出符合条件的日志。高亮字符串：在筛选条件右侧的输入框中输入待高亮显示的字符串，即可在日志原文中高亮显示对应的字符串。向前/向后加载日志：固定加载日志数量，默认为2，支持5、10和20。定位原日志：单击右上角的图标，即可快速定位至原日志（序号为0的日志）。说明日志本身是时序的，上下文查询页面使用序号区分先后顺序。序号为0的日志表示原日志，负数表示0号日志之前的日志，正数表示0号之后的日志。
②	日志原文区	查看原文：单击查看原文，可在弹出框中查看JSON格式的日志原文。

划词：支持字段值划词（表格和原文模式均支持）。单击字段值，可弹出框中选择对应操作。
- 添加到查询：新增查询筛选条件is（对应字段+运算符is+参数值）。
- 从查询中排除：新增查询筛选条件is not（对应字段+运算符is not+参数值）。