查询和分析日志

更新时间: 2023-11-02 10:48:58

创建索引后,您可以在查询和分析页面对采集到的日志进行实时查询和分析。

前提条件

  • 已采集日志。具体操作,请参见数据采集

    重要 进行日志分析前,需要先将日志采集到Standard Logstore中。更多信息,请参见管理Logstore
  • 已创建索引。具体操作,请参见创建索引

    如果您要分析日志,则需创建字段索引且开启统计功能。

操作视频

您可以参见如下视频完成查询和分析操作。

查询和分析

说明

默认情况下,您打开查询和分析页面时,系统会自动执行一次查询操作,展示查询结果。您可以单击页面右上角的设置图标,在查询设置页签下,关闭该功能或设置查询时间。

  1. 登录日志服务控制台

  2. 在Project列表区域,单击目标Project。

  3. 日志存储 > 日志库页签中,单击目标Logstore。

  4. 输入查询和分析语句。

    查询和分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,语法说明请参见查询语法SQL分析语法

    您还可以通过Data Explorer构建查询和分析语句。具体操作,请参见通过Data Explorer构建查询和分析语句

  5. 单击最近15分钟,设置查询的时间范围。

    您也可以在分析语句中通过__time__字段指定时间范围(闭合区间),例如* | SELECT * FROM log WHERE __time__>1558013658 AND __time__< 1558013660。通过这两种方式设置的时间范围,其精度都为分钟, 查询和分析结果存在1分钟以内的误差。

    重要
    • 如果您要确保不漏查数据,请将查询时间对齐到分钟级别。

    • 如果您在分析语句中设置了时间范围,则查询分析时以该时间范围为准。

    如果您需要精确到秒,需要在分析语句中指定时间时,使用from_unixtime函数to_unixtime函数转换下时间格式。例如:

    • * | SELECT * FROM log WHERE from_unixtime(__time__) > from_unixtime(1664186624) AND from_unixtime(__time__) < now()

    • * | SELECT * FROM log WHERE __time__ > to_unixtime(date_parse('2022-10-19 15:46:05', '%Y-%m-%d %H:%i:%s')) AND __time__ < to_unixtime(now())

操作查询和分析结果

日志服务提供查询直方图、原始日志和统计图表,用于展示查询和分析结果,并支持设置告警、快速查询等操作。

重要

执行查询和分析语句后,默认只返回100行。如果您希望返回更多数据,可使用LIMIT语法。更多信息,请参见LIMIT子句

  • 查询直方图

    查询直方图主要展示查询到的日志在时间上的分布情况。 分布直方图

    • 将鼠标悬浮在绿色数据块上时,您可以查看该数据块代表的时间范围和日志命中次数。

    • 双击绿色数据块,您可以查看更细时间粒度的日志分布,同时原始日志页签中将同步展示指定时间范围内的查询结果。

  • 原始日志

    原始日志页签中展示当前查询结果,您可单击表格原始查看日志。 原始日志

    • 快速分析:用于快速分析某一字段在一段时间内的分布情况。具体操作,请参见快速分析

    • 上下文浏览:在原始页签中,单击目标日志中的查询日志-004图标,查看指定日志在原始文件中的上下文信息。具体操作,请参见上下文查询

      重要

      只有通过Logtail采集到的日志才支持上下文浏览功能。

    • LiveTail:在原始页签中,单击目标日志中的LiveTail图标,实时监控日志内容,提取关键日志信息。具体操作,请参见LiveTail

      重要

      只有通过Logtail采集到的日志才支持LiveTail功能。

    • 设置Tag:在原始日志页签中,选择image.png > tag设置,然后在Tag设置对话框中,您可以将目标字段设置为Tag以及将次要的字段内容简化展示。Tag

    • 设置列:在原始日志页签中,选择image.png > 显示字段/列设置,设置表格中要展示的日志信息,其中列名称为字段名,内容为字段值。 列设置

    • 设置JSON:在原始日志页签中,选择image.png > JSON设置,设置JSON展开级别。

    • 设置事件:在原始日志页签中,选择image.png > 事件配置,为原始日志设置事件。 具体操作,请参见事件配置

    • 下载日志:在原始日志页签中,单击下载日志图标下载日志,支持选择下载范围和下载工具。具体操作,请参见下载日志

  • 统计图表

    执行查询和分析语句后,您可以在统计图表页签中查看可视化的查询和分析结果。

    • 查看查询和分析结果:统计图表是日志服务根据查询与分析语句渲染出的结果。日志服务提供表格、线图、柱状图等多种图表类型。目前,统计图表包括Pro版本和普通版本。具体操作,请参见统计图表(Pro版本)概述统计图表概述

    • 添加图表到仪表盘:仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘,将查询和分析结果以图表形式保存到仪表盘中。具体操作,请参见可视化概述

    • 设置交互事件:交互事件是数据分析中不可缺少的功能之一,通过改变数据维度的层次、变换分析的粒度从而获取数据中更详尽的信息。具体操作,请参见交互事件

    • 创建定时SQL任务:日志服务提供定时SQL功能,用于定时分析数据、存储聚合数据、投影与过滤数据。具体操作,请参见定时SQL

  • 日志聚类

    日志聚类页签中,单击开启日志聚类,可实现在采集日志时聚合相似度高的日志。具体操作,请参见日志聚类

  • 告警

    在查询和分析页面,单击另存为告警图标,为查询和分析结果设置告警。具体操作,请参见快速设置日志告警

  • 快速查询

    在查询和分析页面上,单击快速查询图标,将某一查询和分析语句保存为快速查询。具体操作,请参见快速查询

  • 分享

    在查询和分析页面上,单击image.png图标,复制本页面链接,分享给其他用户。

阿里云首页 日志服务 相关技术圈