进入搜索LTS日志页面
当您配置完成日志结构化解析和索引后,就可以通过输入搜索语句,在日志数据中查找包含特定关键词的日志记录。或者根据时间范围来检索日志数据,帮助您定位特定时间段内发生的事件和问题。
搜索语句用于指定日志查询时的过滤规则,返回符合条件的日志。搜索语句可以为关键词、数值、数值范围、空格、星号(*)等。 如果为空格或星号(*),表示无过滤条件。更多信息请参见LTS搜索语法介绍。
搜索日志
- 登录云日志服务控制台,进入“日志管理”页面。
- 在“日志管理”页面,单击目标日志组或日志流名称,进入日志详情页面。
- 您可以根据自己的实际需求,在搜索框上方选择时间范围,即可查看不同时间段的日志数据。
时间范围有三种方式,分别是相对时间、整点时间和自定义。您可以根据自己的实际需求,选择时间范围。
- 相对时间:表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31,设置相对时间1小时,表示查询18:20:31~19:20:31的日志数据。
- 整点时间:表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31,设置整点时间1小时,表示查询18:00:00~19:00:00的日志数据。
- 自定义:表示查询指定时间范围的日志数据。支持选择3个月的范围,白名单用户支持选择6个月的范围。如有需要,请提交工单申请。
- 根据LTS搜索语法介绍在搜索框输入查询条件,用于日志数据的查看、简单搜索和过滤。
- 在页面搜索区域中,单击搜索框,输入待搜索的关键字,或在弹出的下拉框中选择待搜索的字段和关键词,单击“查询”,开始搜索。
- 内置保留字段有appName、category、clusterId、clusterName、collectTime等,默认简化显示,并且hostIP、hostName、pathFile默认显示在最前面。更多内置保留字段请参考设置LTS日志索引配置。
- 结构化配置的字段按照key:value显示。
- 日志搜索框内容过多时支持自动换行并多行显示。
- 支持固定搜索框高度。
- 在页面搜索区域,使用键盘的"↑""↓"箭头,选择待搜索的关键字或搜索语法,单击Tab键或Enter键选中后,单击“查询”,开始搜索。
- 对已创建快速分析的字段,单击选择字段可直接将其添加到页面搜索框中,进行搜索。请参考创建LTS快速分析开启快速分析。
通过单击字段添加到搜索框中,如果是同一字段,则将直接替换该方式添加的字段,不会进行AND搜索;如果是不同字段,则对不同字段进行AND搜索。
- 在页面搜索区域中,单击搜索框,输入待搜索的关键字,或在弹出的下拉框中选择待搜索的字段和关键词,单击“查询”,开始搜索。
- 在“日志搜索”页签,您可以进行如下操作,更多操作请参考日志搜索的常用操作。
- 在日志统计下方,展示不同时间段的日志总条数柱状图,柱状图旁边显示日志条数刻度。
- 在日志内容下方,鼠标悬浮指向日志内容中的字段,单击蓝色字体的日志内容,支持以下方式搜索日志:复制、添加到查询、从查询中排除、添加到查询(交互模式)、从查询中排除(交互模式)、新建查询、隐藏。
- 在日志内容下方,单击时间前面的
展开图标,支持以Table和JSON形式展示结构化字段。
- 在Table页签,支持对该字段进行添加到查询、从查询中排除、字段存在、字段不存在、隐藏的方式搜索日志。更多信息请参考LTS搜索语法介绍。
- 在JSON页签,支持查看或者复制日志内容。
- 在日志内容下方,支持选择列表或原始日志方式展示日志内容。
- 支持设置日志数据的版面展示,主要设置字段是否显示或简化显示。
- 在下拉框单击编辑版面,进入版面设置页面,版面列表自带默认版面、纯净版面、容器日志默认版面,可以设置字段在版面是否显示。
- 云端:适用于有写权限的用户,版面配置信息保存在云端。
- 本地缓存:适用于只有读权限的用户,版面配置信息缓存在本地浏览器。
- 单击
新增自定义版面,设置版面名称和版面字段的可见性。 - 设置完成后,单击“确定”,返回下拉框显示新增的自定义版面。
- 在下拉框单击编辑版面,进入版面设置页面,版面列表自带默认版面、纯净版面、容器日志默认版面,可以设置字段在版面是否显示。
交互模式
使用交互模式之前,请确保日志正常上报,且已经完成结构化分析和索引配置,详细请参考设置云端结构化解析日志和设置LTS日志索引配置。
交互式搜索适用于生成简单的搜索语句,操作简单,通过在界面上设置搜索条件和指定日志查询时的过滤规则,从而筛选日志中满足条件的记录。如果您需要使用更多的函数或者嵌套查询,请手动输入SQL语句。详细请参考SQL分析语法介绍。
- 单击搜索框前面的“交互模式”,进入交互式搜索页面。
- 在下拉框选择日志搜索的字段和条件,搜索框则会展示对应字段的值。根据业务需要,用户可以自定义设置搜索方式,添加关联关系或添加组进行搜索。
- 下拉框显示的字段为索引配置字段、结构化字段、内置保留字段。
- 且(AND)表示在多个条件中需要同时满足所有条件才能成立。
- 或(OR)表示在多个条件中只需满足其中一个条件即可。
例如在界面上选择content、collectTime、category字段,设置不同的条件,随时可以预览搜索语句,如有问题,可以修改搜索条件,操作简单。
(截图仅供参考,请以实际搜索结果为准)
(content:"{\"write_traffic\":11,\"index_traffic\":133,\"storage\":17107}" AND collectTime=1728631667089) OR category:LTS
- 设置完成后,单击“确定”,LTS根据搜索语句进行日志搜索,在日志搜索下方即可查看搜索结果。(截图仅供参考,请以实际搜索结果为准)
日志搜索的常用操作
在日志内容展示区域,支持分享日志、查看上下文、下载日志等操作,具体参考表1。
|
操作 |
说明 |
|---|---|
|
创建快速查询 |
单击 |
|
查看仪表盘 |
单击 |
|
添加告警 |
单击 |
|
分享日志 |
单击 |
|
刷新日志 |
单击
|
|
复制 |
单击 |
|
查看上下文 |
单击
说明:
支持选择简洁模式查看日志上下文。支持下载上下文内容。 |
|
更多操作 |
单击
|
|
换行/取消换行 |
单击  按钮,搜索的日志内容将换行显示。若不需要换行,单击 按钮,取消换行。
说明:
默认开启换行按钮。 |
|
下载日志 |
该功能仅支持白名单用户使用,如有需要,请提交工单申请开通。 鼠标悬浮在
|
|
全部折叠/全部展开 |
单击
说明:
默认不折叠。折叠后,默认显示2行,最多支持展示6行。 |
|
JSON设置 |
鼠标悬浮在
说明:
默认开启格式化,JSON默认展开层级为2层。若日志包含多个反斜杠,当日志展示为json格式时,会丢失一个反斜杠,因为json解析会将第一个反斜杠作为转义符处理。
|
|
日志折叠设置 |
鼠标悬浮在 日志超过设置的长日志字符个数时,超出字符将被隐藏,单击“展开”按钮可查看全部内容。
说明:
默认开启自动折叠长日志,字符个数默认为400个。 |
|
日志时间展示 |
鼠标悬浮在
说明:
默认开启展示毫秒。 |
|
虚拟滚动设置 |
鼠标悬浮在
说明:
|
|
不可见字段列表 |
该列表展示版面设置中配置的不可见性字段。
|
跨流搜索(白名单功能)
目前此功能仅支持白名单用户使用,如有需要请提交工单申请开通。
在当前日志流详情页面,支持跨流搜索日志,即无需退出当前日志搜索页面,即可选择其他日志流搜索日志。
- 在当前日志流详情页面,单击
。
- 在弹出的跨流搜索页面,选择需要搜索的目标日志流。
- 单击“确定”。
- 进入目标日志流详情页,根据业务需要参考LTS搜索语法介绍进行搜索日志。
- 搜索完成后,单击右上角的“退出跨流搜索”,即可返回当前日志流搜索页面。
- 当跨流搜索的日志流的分词配置不同时,会导致跨流日志关键词高亮不一致。
- 最多可同时搜索50个日志流。
- 仅支持搜索原始日志,暂不支持使用SQL进行统计分析。
- 支持跨日志组选择日志流,但不支持跨区域选择日志流。
- 跨流搜索选择多个索引配置不一致的日志流,例如A日志流配置了字段索引Key1,B日志流没有配置该字段,使用搜索语句Key1:xxx搜索日志时,仅能查看A日志流的相关日志,B日志流搜索日志失败,请根据界面报错提示修改后再重新搜索日志。
