日志搜索

您可以通过本操作设置关键字和时间范围进行日志搜索。

1. 在云日志服务管理控制台，单击“日志管理”。
2. 在日志组列表中，单击日志组名称前对应的按钮。
3. 在日志流列表中，单击日志流名称，进入日志详情页面。
   图1 日志详情
   
4. 在搜索框上方选择时间范围。
   时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。

   

   • 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:31~19:20:31的日志数据。
   • 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:00~19:00:00的日志数据。
   • 自定义：表示查询指定时间范围的日志数据。支持选择3个月的范围，白名单用户支持选择6个月的范围。如有需要，请提交工单申请。
5. 在日志详情页面，有以下搜索方式：
   1. 在页面搜索区域中，鼠标单击搜索框，输入待搜索的关键字，或在弹出的下拉框中选择待搜索的字段和关键词，单击“查询”，开始搜索。

      在原始日志页签下方显示包含搜索关键字的日志。

      

      • 内置保留字段有appName、category、clusterId、clusterName、collectTime等，默认简化显示，并且hostIP、hostName、pathFile默认显示在最前面。更多信息请参考内置保留字段。
      • 结构化配置的字段按照key:value显示。
      • 日志搜索框内容过多时支持自动换行并多行显示。
      • 支持固定搜索框高度。
   2. 在原始日志页面中，展示不同时间段的日志总条数柱状图，柱状图旁边显示日志条数刻度。
      

      若使用了内嵌功能，支持设置收起或展开式日志条数统计图。关于内嵌参数请参考云日志服务地址。

   3. 在原始日志页面中，鼠标悬浮指向日志内容中的字段，单击蓝色字体的日志内容，支持复制、添加到查询、从查询中排除的方式搜索日志。
   4. 对已创建快速分析的字段，单击选择字段可直接将其添加到页面搜索框中，进行搜索。
      

      通过单击字段添加到搜索框中，如果是同一字段，则将直接替换该方式添加的字段，不会进行AND搜索；如果是不同字段，则对不同字段进行AND搜索。

   5. 在页面搜索区域，使用键盘的"↑""↓"箭头，选择待搜索的关键字或搜索语法，单击Tab键或Enter键选中后，单击“查询”，开始搜索。
6. 在日志内容下方，单击时间前面的展开图标，支持以Table和JSON形式展示结构化字段。
   • 在Table页签，支持对该字段进行添加到查询、从查询中排除、字段存在、字段不存在、隐藏的方式搜索日志。更多信息请参考搜索语法。
   • 在JSON页签，支持查看或者复制日志内容。
7. 版面设置。

   

   1. 在下拉框单击所有版面，进入版面设置页面，版面列表自带默认版面、纯净版面、容器日志默认版面，可以设置字段在版面是否显示。

      云端: 适用于有写权限的用户，版面配置信息保存在云端。

      本地缓存: 适用于只有读权限的用户，版面配置信息缓存在本地浏览器。

      

   2. 单击新增自定义版面，设置版面名称和版面字段的可见性。
   3. 设置完成后，单击“确定”，返回下拉框显示新增的自定义版面。

      

日志搜索的常用操作

日志搜索的常用操作有分享日志、刷新等操作，具体参考如下图所示：

表1 常用操作

操作	说明
交互式搜索	单击搜索框前面的按钮，在交互式搜索页面，根据业务需要选择索引配置的字段，设置过滤方式，也可以通过添加关联关系或添加组进行交互式搜索，设置完成后，支持预览搜索语法。
创建快速查询	单击按钮，创建快速查询。
查看仪表盘	单击按钮，在弹出来的仪表盘页面，可查看已创建的仪表盘。
添加告警	单击按钮，在弹出的页面，支持新建告警规则。
分享日志	单击复制当前日志搜索页面的链接，用于分享搜索日志。
刷新日志	单击对日志进行刷新，有两种方式刷新方式：手动刷新和自动刷新。 手动刷新：单击“手动刷新”可直接对日志进行刷新。 自动刷新：选择自动刷新的间隔时间，将对日志进行自动刷新。间隔时间范围为15秒、30秒、1分钟和5分钟。
复制	单击复制日志内容。
查看上下文	单击查看日志上下文。 说明： 支持选择简洁模式查看日志上下文。支持下载上下文内容。
简化字段详情	单击查看简化字段详情。
换行/取消换行	单击按钮，搜索的日志内容将换行显示。若不需要换行，单击按钮，取消换行。 说明： 默认开启换行按钮。
下载日志	单击按钮，在弹出的下载日志页面中单击“本地下载”和“前往创建转储”。 本地下载：将日志文件直接下载到本地，单次下载支持最大5,000条日志。 在下拉框中选择“.csv”或“.txt”，单击“开始下载日志”，可将日志导出至本地。 说明： 选择以CSV格式导出日志后，本地以表格形式保存日志的具体标签信息。 选择导出TXT格式日志后，本地会以.txt格式保存日志的日志内容。 前往创建转储：通过OBS转储任务下载日志文件，单次下载支持最大100万条日志。 单击“前往创建转储”，跳转至配置转储页面，详细请参考日志转储。
全部折叠/全部展开	单击设置日志内容展示的行数。若不需要展示日志内容，再单击一次按钮即可关闭展示的日志内容。 说明： 默认不折叠。折叠后，默认显示2行，最多支持展示6行。
JSON设置	鼠标悬浮在按钮上，单击“JSON设置”，在弹出的JSON设置页面中，设置格式化显示。 说明： 默认开启格式化，JSON默认展开层级为2层。 开启格式化按钮：设置JSON默认展开层级，最大设置为10层。 关闭格式化按钮：对于JSON格式的日志，将不会格式化层级显示。
日志折叠设置	鼠标悬浮在按钮上，单击“日志折叠设置”，在弹出的日志折叠设置页面中，设置长日志字符个数。 日志超过设置的长日志字符个数时，超出字符将被隐藏，单击“展开”按钮可查看全部内容。 说明： 默认开启自动折叠长日志，字符个数默认为400个。
日志时间展示	鼠标悬浮在按钮上，单击“日志时间展示”，在弹出的日志折叠设置页面中，设置是否展示毫秒、是否展示时区。 说明： 默认开启展示毫秒。
不可见字段列表	该列表展示版面设置中配置的不可见性字段。 当日志流未配置版面设置时，将不显示按钮。 当日志内容为“CONFIG_FILE”且未配置版面设置时，不可见字段默认有appName、clusterId、clusterName、containerName、hostIPv6、NameSpace、podName和serviceID。