开启并配置索引后,您可以在查询分析页面对采集到的日志进行实时查询分析。

前提条件

操作视频

您可以参见如下视频完成查询和分析操作。

查询和分析

说明 默认情况下,您打开查询分析页面时,系统自动执行查询操作,展示查询结果。您可以单击页面右上角的设置图标,在查询设置页签下,设置查询时间或关闭该功能。
  1. 登录日志服务控制台
  2. 在Project列表区域,单击目标Project。
  3. 日志存储 > 日志库页签中,单击目标Logstore。
  4. 在搜索框中输入查询分析语句。
    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法请参见查询语法SQL分析语法
  5. 单击15分钟(相对),设置查询分析的时间范围。
    您可以设置相对时间、整点时间和自定义时间。
    说明 查询结果有1 min以内的误差。
  6. 单击查询/分析,查看查询分析结果。

操作查询和分析结果

日志服务为您提供日志分布直方图、原始日志和统计图表形式的展示查询分析结果,并支持设置告警、快速查询等操作。
说明 执行查询和分析语句后,默认只返回100条结果,您可以使用LIMIT语句控制返回结果数量。更多信息,请参见LIMIT语法
  • 日志分布直方图
    日志分布直方图主要展示查询到的日志在时间上的分布。 分布直方图
    • 鼠标指向绿色数据块时,可以查看该数据块代表的时间范围和日志命中次数。
    • 单击绿色数据块,可以查看更细时间粒度的日志分布,同时在原始日志页签中同步展示指定时间范围内的查询结果。
  • 原始日志
    原始日志页签中展示当前查询结果,您可单击表格原始查看日志并可执行如下操作。 原始日志
    • 快速分析:用于快速分析某一字段在一段时间内的分布情况。更多信息,请参见快速分析
      您还可以单击别名图标,选择显示Key或Key的别名,该别名可在创建索引时配置。例如host_name的别名为host,如果你选择显示别名,则在快速分析列表中显示host
      说明 当某字段没有别名时,您选择显示别名,在快速分析列表中仍显示字段名(Key)。
    • 上下文浏览:在原始页签中,单击目标日志中的查询日志-004图标,查看指定日志在原始文件中的上下文信息。更多信息,请参见上下文查询
      说明 上下文浏览功能仅支持Logtail采集到的日志数据。
    • LiveTail:在原始页签中,单击目标日志中的LiveTail图标,实时监控日志内容,提取关键日志信息。更多信息,请参见LiveTail
      说明 LiveTail功能仅支持Logtail采集到的日志数据。
    • 设置Tag:在原始页签中,单击设置图标下的Tag设置,将次要的字段内容简化展示。Tag
    • 设置列:在表格页签中,单击设置图标下的列设置,设置表格中要展示的日志信息,其中列名称为字段名,内容为字段值。 列设置
    • 设置JSON:在表格原始页签中,单击设置图标下的JSON设置,设置JSON展开级别。
    • 设置事件:在表格原始页签中,单击设置图标下的事件配置,为原始日志设置事件。 更多信息,请参见事件配置
    • 下载日志:在表格原始页签中,单击下载日志图标下载日志,支持选择下载范围和下载工具。更多信息,请参见下载日志
  • 统计图表
    如果在配置索引时开启了统计功能,且使用查询分析语句进行查询,则可以在统计图表页签中查看分析结果。
    • 查看分析结果:日志服务为您提供表格、线图、柱状图等多种统计图表,您可以根据分析需求选用合适的图表类型展示分析结果。更多信息,请参见统计图表
    • 添加图表到仪表盘:仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘,将查询语句以图表形式保存到仪表盘中。更多信息,请参见仪表盘
    • 设置下钻分析:下钻分析是在分析时加深维度,对数据进行层层深入的查看。设置下钻分析并将图表添加到仪表盘,在仪表盘中单击图表可以获取更深维度的分析结果。更多信息,请参见下钻分析
  • 日志聚类

    日志聚类页签中,单击开启日志聚类,可实现在采集日志时将相似度高的日志聚合。更多信息,请参见日志聚类

  • 告警

    在查询分析页面上,单击另存为告警,可为查询结果设置告警。更多信息,请参见设置告警

  • 快速查询

    在查询分析页面上,单击另存为快速查询,将某一查询分析语句保存为快速查询。更多信息,请参见快速查询