开启并配置索引后,可以在查询页面对采集到的日志进行实时查询与分析。

前提条件

操作步骤

  1. 登录日志服务控制台,单击Project名称。
  2. 单击日志库名称后的日志库管理图标图标,选择查询分析
  3. 在搜索框中输入查询分析语句。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句。详细说明请参考查询分析语句格式

  4. 在页面右上角单击15分钟(相对),设置查询的时间范围。
    您可以选择相对时间、整点时间和自定义时间范围。
    说明 查询结果相对于指定的时间范围来说,有1min以内的误差。

    选择时间
  5. 单击查询/分析,查看搜索结果。

    查询结果
    日志服务为您提供日志分布直方图、原始日志和统计图表形式的查询分析结果。
    说明 默认返回100个结果,如果您需要返回更多,请使用LIMIT语法
    • 日志分布直方图
      日志分布直方图主要展示查询到的日志在时间上分布。
      • 鼠标指向绿色的数据块,可以查看该数据块代表的时间范围和日志命中次数。
      • 单击数据块,可以查看更细时间粒度的日志分布,同时原始日志页签中也会同步展示指定时间范围内的日志查询结果。

      分布直方图
    • 原始日志
      原始日志页签展示当前查询结果,也就是当前查询条件命中的日志。
      • 快速分析:快速分析功能用于快速分析某一字段在一段时间内的分布情况,详细说明请查看快速分析
      • 下载日志:单击页签右上角的下载图标,选择下载的范围,并单击确定
      • 设置列:单击页签右上角的列设置,勾选字段并单击添加,页签中会新增选中字段的列,其中列名称为字段名,内容为每条日志的字段值。
        说明 内容列需要被选中,页签中才会出现日志内容一列。

        列设置
      • 设置内容列显示:字段内容如果超出3000字符,会默认折叠处理,并在Key值前显示提醒信息“该字段过长,已做折叠处理”。单击页签右上角的内容列显示,设置Key-Value对排列长字符折叠
        说明 展开至10000个字符以上时,第10000以外的字符的将做降级处理,降级处理的字符不提供分词的功能。
        配置 说明
        Key-Value对排列 您可以设置Key-Value对之间为换行显示或整行显示。
        长字符折叠 Key 当某一Value值超过3000字符时,默认为Value值设置折叠显示,如果日志中不存在过长的Value值,则此处为空。

        Key为过长而被折叠的Value对应的Key。
        状态 是否开启Value值折叠。默认为开启状态。
        • 开启:表示Key-Value对里的Value值长度超出折叠步长时,会自动对字符进行折叠。单击字符末尾展开按钮可以进行增量展开,增量为折叠步长。
        • 关闭:表示超出折叠步长时不折叠。
        折叠步长 Value正常显示的最大长度,也是每次增量展开的长度。

        单位为字符,取值范围为500~10000,默认为3000。

        内容列设置
    • 统计图表
      如果在索引设置中开启了统计功能,且在搜索中使用查询分析语句,则可以在统计图表页签中查看分析结果。
      • 查看分析结果:日志服务为您提供表格、折线图、柱状图等多种类型的统计图表,您可以根据分析需求选用合适的图表类型展示分析结果。

        统计图表
      • 添加图表到仪表盘:仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘,将常用的查询语句以图表形式保存到仪表盘中。

        添加仪表盘
      • 设置下钻配置:下钻分析是在分析时加深维度,对数据进行层层深入的查看。设置下钻配置并将图表添加到仪表盘,在仪表盘中单击图表值可以获取更深维度的分析结果。详细说明请查看下钻分析

        下钻分析

    另外,在查询页面右上角单击另存为快速查询另存为告警,可以使用日志服务的快速查询告警功能。