日志查询

场景描述

根据日志存储方式的不同，将云端存储空间划分为实时数据存储空间和归档数据存储空间两种。

• 实时数据存储空间：存储空间小，存储不超过当前套餐容量的最新日志；可以进行实时全文检索，查询速度快。
• 归档数据存储空间：存储空间大，可以存储符合等保要求的日志存储量；可以进行全量查询，但查询速度较慢。

考虑到日志的存储量大，存储周期长，如果使用热存储方式存储全部数据会造成用户使用成本过高。因此，当用户日志存储容量超过套餐内可用实时数据（热存储方式）存储空间时，会将实时数据存储空间内最早存储的日志数据存储到归档数据（冷存储方式）存储空间中。

操作步骤

1. 登录华为乾坤控制台，选择“ > 我的服务 > 云日志审计”。
2. 在右上角菜单栏选择“日志查询”。
3. 在“高级搜索”中设置查询条件，单击“搜索”。
   图1 日志查询页面
   

   表1 查询参数说明

   参数	说明
   时间	指定某个时间段，查询该时间段内上报的日志。 日历表中增加明显标识，方便用户感知日志上报事件及数据类型。 日期呈灰色：当日无日志上报，无数据。 日期呈蓝色：当日有日志上报，日志数据为归档数据，查询时创建离线任务。 日期呈蓝色且底部有蓝点：当日有日志上报，日志数据为实时数据，可实时查询。
   日志级别	紧急、报警、关键、错误、警告、通知、消息、调试。
   资产名称	指定某个或某些资产，查询该资产上报的日志。
   资产IP	输入资产IP，查询该IP关联资产上报的日志。
   主机名	输入主机名，查询该主机上报的日志。

   当您的查询包含归档数据时，系统将为您创建离线查询任务。

   • 离线查询任务最多10条。超出后新建离线查询任务时，弹窗提示用户，用户确认后系统将删除时间留存最久的一条。
   • 表示离线查询任务已完成，您单击对应任务即可查看查询结果。
   • 表示离线查询任务执行中，您可以通过底部进度条查看执行进度。
   • 表示离线查询任务执行失败，失败原因可能为执行超时或提交失败。