如何精确查询日志?

当您需要精确查询包含多个关键字的日志时,您可以使用like语法或短语查询。

日志样例

body_bytes_sent:1061
http_user_agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU) AppleWebKit/533.18.1 (KHTML, like Gecko) Version/5.0.2 Safari/533.18.5
remote_addr:192.0.2.2
remote_user:vd_yw
request_method:DELETE
request_uri:/request/path-1/file-5
status:207
time_local:10/Jun/2021:19:10:59

查询需求

查询http_user_agent字段值中包含like Gecko的日志。

查询示例

本示例基于上述日志样例和查询需求进行查询。

短语查询

短语查询,可用于精准匹配一段短语。更多信息,请参见短语查询

http_user_agent:#"like Gecko"

Like语法

like语法满足标准的SQL like语法,在like语法中百分号(%)代表任意个字符,下划线 (_)代表单个字符。

  • 正确的查询语句

    * | Select * where http_user_agent like '%like Gecko%'

    其中,http_user_agent为日志字段。

  • 错误的查询语句

    使用如下查询语句,无法精确查询。查询结果将包含like GeckoGecko likelike abc GeckoGecko abc like 的日志。

     "like" and "Gecko"