查询和分析日志 - 日志服务

配置索引后，您可以在查询分析页面对采集到的日志进行实时查询分析。

前提条件

已采集到日志数据。更多信息，请参见数据采集。
已配置索引。更多信息，请参见配置索引。

操作视频

您可以参见如下视频完成查询和分析操作。

查询和分析

说明默认情况下，您打开查询分析页面时，系统自动执行查询操作，展示查询结果。您可以单击页面右上角的

图标，在查询设置页签下，设置查询时间或关闭该功能。

登录日志服务控制台。
在Project列表区域，单击目标Project。
在日志存储 > 日志库页签中，单击目标Logstore。
在输入框中输入查询分析语句。
查询分析语句由查询语句和分析语句构成，格式为查询语句|分析语句，查询分析语句语法请参见查询语法、SQL分析语法。
您还可以通过Data Explorer构建查询和分析语句。具体操作，请参见通过Data Explorer构建查询和分析语句。
单击15分钟（相对），设置查询分析的时间范围。
您可以设置相对时间、整点时间和自定义时间。此处设置的查询时间最小粒度为分钟。如果需要精确到秒，请在分析语句中指定时间范围，例如* | SELECT * FROM log WHERE __time__>1558013658 AND __time__< 1558013660。

说明查询和分析结果有1分钟以内的误差。
单击查询/分析，查看查询分析结果。

操作查询和分析结果

日志服务为您提供日志分布直方图、原始日志和统计图表形式的展示查询分析结果，并支持设置告警、快速查询等操作。

说明执行查询和分析语句后，默认只返回100条结果，您可以使用LIMIT语句控制返回结果数量。更多信息，请参见LIMIT子句。

日志分布直方图
日志分布直方图主要展示查询到的日志在时间上的分布。
- 鼠标指向绿色数据块时，可以查看该数据块代表的时间范围和日志命中次数。
- 单击绿色数据块，可以查看更细时间粒度的日志分布，同时在原始日志页签中同步展示指定时间范围内的查询结果。
原始日志
在原始日志页签中展示当前查询结果，您可单击表格或原始查看日志并可执行如下操作。
- 快速分析：用于快速分析某一字段在一段时间内的分布情况。更多信息，请参见快速分析。
  您还可以单击图标，选择显示Key或Key的别名，该别名可在创建索引时配置。例如host_name的别名为host，如果你选择显示别名，则在快速分析列表中显示host。
  
  说明当某字段没有别名时，您选择显示别名，在快速分析列表中仍显示字段名（Key）。
- 上下文浏览：在原始页签中，单击目标日志中的图标，查看指定日志在原始文件中的上下文信息。更多信息，请参见上下文查询。
  
  说明上下文浏览功能仅支持Logtail采集到的日志数据。
- LiveTail：在原始页签中，单击目标日志中的图标，实时监控日志内容，提取关键日志信息。更多信息，请参见LiveTail。
  
  说明 LiveTail功能仅支持Logtail采集到的日志数据。
- 设置Tag：在原始页签中，单击图标下的Tag设置，将次要的字段内容简化展示。
- 设置列：在表格页签中，单击图标下的列设置，设置表格中要展示的日志信息，其中列名称为字段名，内容为字段值。
- 设置JSON：在表格或原始页签中，单击图标下的JSON设置，设置JSON展开级别。
- 设置事件：在表格或原始页签中，单击图标下的事件配置，为原始日志设置事件。更多信息，请参见事件配置。
- 下载日志：在表格或原始页签中，单击图标下载日志，支持选择下载范围和下载工具。更多信息，请参见下载日志。
统计图表
执行查询分析语句后，您可以在统计图表页签中查看可视化的查询分析结果。
- 查看查询分析结果：统计图表是日志服务根据查询与分析语句渲染出的结果。日志服务提供表格、线图、柱状图等多种图表类型。目前，统计图表包括Pro版本和普通版本。更多信息，请参见统计图表（Pro版本）概述、统计图表概述。
- 添加图表到仪表盘：仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘，将查询分析结果以图表形式保存到仪表盘中。更多信息，请参见可视化概述。
- 设置交互事件：交互事件是数据分析中不可缺少的功能之一，通过改变数据维度的层次、变换分析的粒度从而获取数据中更详尽的信息。更多信息，请参见交互事件。
日志聚类
在日志聚类页签中，单击开启日志聚类，可实现在采集日志时将相似度高的日志聚合。更多信息，请参见日志聚类。
告警
在查询分析页面上，选择另存为告警 > 新版告警，可为查询分析结果设置告警。更多信息，请参见快速设置日志告警。
快速查询
在查询分析页面上，单击另存为快速查询，将某一查询分析语句保存为快速查询。更多信息，请参见快速查询。