搜索日志

搜索语法及样例

如果原始日志中本身包含搜索语法的关键字（&&、||、AND、NOT、*、？、:），则不支持使用这些关键字来搜索日志。

搜索规则：

• 支持模糊搜索能力。

  例如：输入error*，可以查找所有含有error的日志且高亮以error开头的日志内容。

• 支持键与值格式的多条件组合搜索，格式为：key1:value1 [条件] key2:value2。

  例如：casInstanceName:in* AND hostIP:x.x.x.x AND kkfa，可以搜索出如下日志内容：

  {
  	"casApplicationName": "app",   （key1:value1）
  	"casEnvironmentName": "env",
  	"hostName": "ecs-zc-xxxx",
  	"collectTime": "15838xxxxx",
  	"hostIP": "x.x.x.x",
  	"logContent": "4312341341341314 kkfa dfa\\n", （关键字内容）
  	"appName": "testhshroma",
  	"casInstanceID": "ins-111",
  	"hostId": "b32dcfc0-615b-4de6-a796-dfccaxxxxxx",
  	"casComponentID": "com-111"
  }

搜索样例：

• 搜索含有start的所有日志：start。
• 搜索含有start to refresh的所有日志：start to refresh。
• 搜索同时包含start和unexpected的日志数据：start && unexpected。
• 搜索同时包含start和unexpected的日志数据：start AND unexpected。
• 搜索包含start或者unexpected的日志数据：start || unexpected。

• 搜索包含start，不包含unexpected的日志数据：start NOT unexpected。
• 搜索日志内容中含有error的所有日志：error*。
• 搜索日志内容中以“er”开头，以“or”结尾，并且中间有一个字符的所有日志：er?or。
• 搜索包含query1而且包含query2，但不包括query3的日志数据：query1 AND query2 NOT query3。
  

  • 输入关键字查询日志时，关键字区分大小写，搜索的日志内容大小写敏感，高亮的日志内容大小写敏感。
  • 全文搜索时，模糊搜索 “*”, “?” 不匹配特殊字符，例如：“-”、空格。

搜索日志

您可以通过本操作设置关键字和时间范围搜索日志。

1. 在云日志服务管理控制台，单击“日志管理”。
2. 在日志组列表中，单击日志组名称。
3. 在日志流列表中，单击日志流名称。

   您还可以在日志流“操作”列中，单击“搜索日志”进入日志流详情页面。

4. 在日志详情页面的搜索区域，输入待搜索的关键字。
   图1 搜索日志
   
5. 单击，开始搜索。

   显示包含搜索关键字的日志。