查询与分析常见问题

如何在查询时判断日志的来源机器

• Logtail采集配置应用于机器组，如果机器组类型为IP地址机器组，则可以使用内网IP对机器进行区分。

• 创建索引后，日志服务默认为__tag__:__hostname__创建索引，查询时输入__tag__:__hostname__:XXX。__tag__字段的设置和说明，请参见保留字段。例如，执行以下语句，统计日志中不同hostname出现的次数。

  * | select '__tag__:__hostname__' , count(1) as count group by '__tag__:__hostname__'

如何在日志数据中搜索IP地址？

• 查询某个IP地址。

  __tag__:__client_ip__:192.0.2.1

• 查询192.0.2.开头的日志。

  __source__:192.0.2.*

• 查询包含192.168.XX.XX的日志。还可以使用正则表达式进行模糊查询，请参见如何模糊查询日志？。

  * | select * from log where key like '192.168.%.%'

如何完成双重条件查询？

需要使用两个条件查询日志时，只需同时输入两个语句即可。

例如，需要在Logstore中查询数据状态不包含OK，也不包含Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。

日志服务提供哪些渠道查询日志？

日志服务提供如下三种方式查询日志：

• 通过日志服务控制台查询。在控制台查询分析日志的步骤，请参见查询与分析快速指引。

• 通过SDK查询。更多信息，请参见SDK参考概述。

• 通过RESTful API查询。更多信息，请参见GetLogs - 查询日志库日志。

通过SDK可正常查询，但进行SQL分析时出现执行超时或网络错误问题，如何解决？

该问题可能是因为您客户端的网络防火墙拦截了带SQL分析关键字的请求。

建议您将访问域名切换为HTTPS形式，以排查客户端网络防火墙问题。

为什么查询和分析时，字段值会被截断？

日志服务查询和分析的字段值长度存在如下限制。

• 查询时，单个字段值最大长度为512 KB（524,288 字节），超出部分不参与查询。

• 分析时，默认支持的字段值最大长度为2 KB（2,048字节），最大可调整为16 KB（16,384字节）。

  如果您需要修改字段值的最大长度，可设置统计字段（text）最大长度，取值范围为64~16,384字节。具体操作，请参见创建索引。

当单个字段值长度超过最大长度时，超出部分被截断，不参与查询和分析。

如何分析非索引字段？

如果您要分析日志但未提前创建索引或无法创建索引，可参考以下方式解决。

• 创建或重建索引

  • 如果是分析新写入的日志，则直接为目标字段创建索引且开启统计功能。具体操作，请参见创建索引。

  • 如果是分析历史日志，则需要对历史日志重建索引且开启统计功能。具体操作，请参见重建索引。

• 打开扫描模式

  如果您无法创建索引，可以打开扫描（Scan）模式，通过扫描分析功能，分析日志。具体操作，请参见扫描（Scan）分析语法、扫描（Scan）日志。

如何修改SQL查询语句输出结果的行数？

在执行查询分析语句时，日志服务默认会在查询分析语句结尾追加limit 100，您可以使用LIMIT子句修改返回结果行数，具体操作请参见LIMIT子句。