开启并配置索引后,您可以在查询分析页面对采集到的日志进行实时查询分析。

前提条件

查询分析

  1. 登录日志服务控制台日志服务控制台
  2. 单击目标Project。
  3. 日志管理 > 日志库页签中,单击目标Logstore右侧的日志库管理图标 > 查询分析
  4. 在页面右上角,单击15分钟(相对),设置查询的时间范围。
    您可以选择相对时间、整点时间和自定义时间范围。
    说明 查询结果相对于指定的时间范围来说,有1min以内的误差。
  5. 在搜索框中输入查询分析语句。
    查询分析语句由查询语句和分析语句构成,格式为 查询语句|分析语句,详情请参见 查询分析语句格式
  6. 单击查询/分析,查看查询分析结果。

操作查询分析结果

日志服务为您提供日志分布直方图、原始日志和统计图表形式的查询分析结果,并支持设置告警、快速查询等操作。
说明 默认最多返回100个结果,如果您需要返回更多,请参见 LIMIT语法
  • 日志分布直方图
    日志分布直方图主要展示查询到的日志在时间上的分布。
    • 鼠标指向绿色数据块时,可以查看该数据块代表的时间范围和日志命中次数。
    • 单击绿色数据块,可以查看更细时间粒度的日志分布,同时在原始日志页签中同步展示指定时间范围内的查询结果。分布直方图
  • 原始日志
    原始日志页签中展示当前查询结果,并可执行如下操作。
    • 快速分析:用于快速分析某一字段在一段时间内的分布情况,详请请参见快速分析
    • 上下文浏览:单击查询日志-004 > 上下文浏览,查看指定日志在原始文件中的上下文信息,详情请参见上下文查询
    • LiveTail:单击查询日志-004 > LiveTail,可实时监控日志内容,提取关键日志信息,详情请参见LiveTail
      说明 LiveTail功能仅支持Logtail采集到的日志数据。
    • 切换Key-Value对排列:单击查询日志-004 > 切换Key-Value对排列,切换Key-Value对排列方式。
    • 下载日志:单击下载日志下载日志,支持选择下载范围和下载工具,详情请参见导出日志
    • 设置列:单击列设置,勾选字段名(Key)并单击添加,在原始日志页签中新增选中的列,其中列名称为字段名(Key),内容为字段值(Value)。
      说明 内容列被选中后, 原始日志页签中才会出现日志内容列。
      列设置
    • 设置内容列显示:如果字段值(Value)超出3000字符,默认折叠处理,并在字段名(Key)前面显示提示信息该字符串过长,已做折叠处理。您可以单击内容列显示,修改配置。
      说明 展开至10000个字符以上时,针对第10000以外的字符不提供分词功能。
      内容列设置

      参数说明如下所示。

      参数 说明
      Key-Value对排列 您可以设置Key-Value对之间为换行显示或整行显示。
      是否隐藏默认字段 开启该功能后,隐藏日志服务的默认字段。
      json默认展开层级 设置json默认展开层级。
      长字符串折叠 Key 因过长而被折叠的Value所对应的Key。当某一Value超过3000字符时,默认为Value设置折叠显示。如果日志中不存在过长的Value,则此处为空。
      状态 是否开启Value折叠。默认为开启状态。
      • 开启:表示Value长度超出折叠步长时,自动对Value进行折叠。
      • 关闭:表示超出折叠步长时不折叠。
      折叠步长 Value正常显示的最大长度,也是每次增量展开的长度。

      单位为字符,取值范围为500~10000,默认为3000。
  • 统计图表
    如果在配置索引时开启了统计功能,且使用查询分析语句进行查询,则可以在 统计图表页签中查看分析结果。
    • 查看分析结果:日志服务为您提供表格、折线图、柱状图等多种统计图表,您可以根据分析需求选用合适的图表类型展示分析结果,详情请参见统计图表
    • 添加图表到仪表盘:仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘,将查询语句以图表形式保存到仪表盘中,详情请参见仪表盘
    • 设置下钻分析:下钻分析是在分析时加深维度,对数据进行层层深入的查看。设置下钻分析并将图表添加到仪表盘,在仪表盘中单击图表可以获取更深维度的分析结果,详情请参见下钻分析
  • 告警

    在查询分析页面上,单击另存为告警,可为查询结果设置告警,详情请参见设置告警

  • 快速查询

    在查询分析页面上,单击另存为快速查询,将某一查询分析语句保存为快速查询,详情请参见快速查询