日志查询常见问题

本文介绍日志查询常见问题例如判断日志的来源机器、搜索IP地址、双重条件查询、查询日志的方式等。

如何在查询时判断日志的来源机器

  • Logtail采集配置应用于机器组,如果机器组类型为IP地址机器组,则可以使用内网IP对机器进行区分。

  • 创建索引后,日志服务默认为__tag__:__hostname__创建索引,查询时输入__tag__:__hostname__:XXX__tag__字段的设置和说明,请参见保留字段。例如,执行以下语句,统计日志中不同hostname出现的次数。

    * | select "__tag__:__hostname__" , count(1) as count group by "__tag__:__hostname__"

如何在日志数据中搜索IP地址?

  • 查询某个IP地址。

    __tag__:__client_ip__:192.0.2.1
  • 查询192.0.2.开头的日志。

    __source__:192.0.2.*
  • 查询包含192.168.XX.XX的日志。还可以使用正则表达式进行模糊查询,请参见如何模糊查询日志?

    * | select * from log where key like '192.168.%.%'

如何完成双重条件查询?

需要使用两个条件查询日志时,只需同时输入两个语句即可。

例如,需要在Logstore中查询数据状态不包含OK,也不包含Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。

日志服务提供哪些渠道查询日志?

日志服务提供如下三种方式查询日志:

通过SDK可正常查询,但进行SQL分析时出现执行超时或网络错误问题,如何解决?

该问题可能是因为您客户端的网络防火墙拦截了带SQL分析关键字的请求。

建议您将访问域名切换为HTTPS形式,以排查客户端网络防火墙问题。