文档首页/ 云日志服务 LTS/ 更多文档/ 用户指南(安卡拉区域)/ 日志搜索与分析/ 日志搜索
更新时间:2024-04-12 GMT+08:00
查看PDF
分享

日志搜索

您可以通过本操作设置关键字和时间范围进行日志搜索。

  1. 在云日志服务管理控制台,单击“日志管理”。
  2. 在日志组列表中,单击日志组名称前对应的按钮。
  3. 在日志流列表中,单击日志流名称,进入日志详情页面。
  4. 在右上角选择时间范围。
    时间范围有三种方式,分别是相对时间、整点时间和自定义时间。您可以根据自己的实际需求,选择时间范围。
    • 相对时间:表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31,设置相对时间1小时,表示查询18:20:31~19:20:31的日志数据。
    • 整点时间:表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31,设置整点时间1小时,表示查询18:00:00~19:00:00的日志数据。
    • 自定义时间:表示查询指定时间范围的日志数据。
  5. 在日志详情页面,有以下搜索方式:
    1. 在页面搜索区域中,鼠标单击搜索框,下拉框中显示如下:
      • 结构化配置字段或索引配置字段。内置字段不展示在该下拉提示框中,但输入内置字段时,下拉提示框会自动关联匹配。
      • 关键词:有“NOT”、“AND”、“OR”、“:”和“:*”五种,除“NOT”外的其他关键词需要输入关键词后,才会展示在下拉提示框里。
        • 当输入关键字时,可使用Tab键自动补全下拉提示框中显示的第一个关键词。
        • 关键词不区分大小写。
      • 历史记录:可以记录20条,但搜索提示框仅展示最新3条记录。
      • 快速查询:展示已创建的快速查询字段。
      • 搜索语法说明:常用的搜索语法。

      输入待搜索的关键字,或在弹出的下拉框中选择待搜索的字段和关键词,单击“查询”,开始搜索。

      显示包含搜索关键字的日志。

      • 内置字段有appName、category、clusterId、clusterName、collectTime、containerName、hostIP、hostIPv6、hostId、hostName、nameSpace、pathFile、podName、serviceID,默认简化显示,并且hostIP、hostName、pathFile默认显示在最前面。
      • 结构化配置的字段按照key:value显示。
    2. 在原始日志页面中,鼠标悬浮指向日志内容中的字段,单击蓝色字体的日志内容,支持复制、添加到查询、从查询中排除的方式搜索日志。
    3. 对已创建快速分析的字段,单击选择字段可直接将其添加到页面搜索框中,进行搜索。

      通过单击字段添加到搜索框中,如果是同一字段,则将直接替换该方式添加的字段,不会进行AND搜索;如果是不同字段,则对不同字段进行AND搜索。

    4. 在页面搜索区域,使用键盘的"↑""↓"箭头,选择待搜索的关键字或搜索语法,单击Tab键或Enter键选中后,单击“查询”,开始搜索。

日志搜索的常用操作

日志搜索的常用操作有分享日志、刷新等操作,具体参考如下图所示:

表1 常用操作

操作

说明

创建快速查询

单击按钮,创建快速查询。

分享日志

单击复制当前日志搜索页面的链接,用于分享搜索日志。

刷新日志

单击对日志进行刷新,有两种方式刷新方式:手动刷新和自动刷新。

  • 手动刷新:单击“手动刷新”可直接对日志进行刷新。
  • 自动刷新:选择自动刷新的间隔时间,将对日志进行自动刷新。间隔时间范围为15秒、30秒、1分钟和5分钟。

复制

单击复制日志内容。

查看上下文

单击查看日志上下文。

简化字段详情

单击查看简化字段详情。

换行/取消换行
单击按钮,搜索的日志内容将换行显示。若不需要换行,单击按钮,取消换行。
说明:

默认开启换行按钮。

下载日志

单击按钮,在弹出的下载日志页面中单击“本地下载”和“前往创建转储”。

本地下载:将日志文件直接下载到本地,单次下载支持最大5,000条日志。

在下拉框中选择“.csv”或“.txt”,单击“开始下载日志”,可将日志导出至本地。

说明:
  • 选择以CSV格式导出日志后,本地以表格形式保存日志的具体标签信息。
  • 选择导出TXT格式日志后,本地会以.txt格式保存日志的日志内容。

全部折叠/全部展开

单击设置日志内容展示的行数。若不需要展示日志内容,再单击一次按钮即可关闭展示的日志内容。

说明:

默认不折叠。折叠后,默认显示2行,最多支持展示6行。

版面设置

鼠标悬浮在按钮上,单击“版面设置”,在弹出的版面设置页面中,设置字段是否简化显示和可见性。

  • 是否简化显示:开启该按钮,日志的字段内容将简化显示。
  • 可见性:当关闭字段的可见性时,日志内容中将不显示。

JSON设置

鼠标悬浮在按钮上,单击“JSON设置”,在弹出的JSON设置页面中,设置格式化显示。

说明:

默认开启格式化,JSON默认展开层级为2层。

  • 开启格式化按钮:设置JSON默认展开层级,最大设置为10层。
  • 关闭格式化按钮:对于JSON格式的日志,将不会格式化层级显示。

不可见字段列表

该列表展示版面设置中配置的不可见性字段。

  • 当日志流未配置版面设置时,将不显示按钮。
  • 当日志内容为“CONFIG_FILE”且未配置版面设置时,不可见字段默认有appName、clusterId、clusterName、containerName、hostIPv6、NameSpace、podName和serviceID。
父主题: 日志搜索与分析