云服务器内容精选
-
搜索语法及样例 搜索语法: 表2 搜索语法 条件 说明 关键字精确搜索 针对日志中的关键字进行精确搜索,大小写敏感。关键词指相邻两分词符之间的单词。 如果对分词符规则不熟悉,建议在关键词后加上*,例如:error*,帮助搜索。 短语精确搜索 针对日志中的短语进行精确搜索,大小写敏感。 && 搜索结果的交集。 || 搜索结果的并集。 AND 搜索结果的交集。 OR 搜索结果的并集。 NOT 搜索结果不包含NOT后的关键字。 ? 模糊搜索能力,?放在关键字中间或末尾,用于替代一个字符。 * 模糊搜索能力,*只能放在关键字后,用于替代0到n个字符。 如果原始日志中本身包含搜索语法的关键字(&&、||、AND、OR、NOT、*、?、:、>、<、=、>=、<=),则不支持使用这些关键字来搜索日志。 搜索规则: 支持模糊搜索能力。 例如:输入error*,可以查找所有含有error的日志且高亮以error开头的日志内容。 支持键与值格式的多条件组合搜索,格式为:key1:value1 AND key2:value2或key1:value1 OR key2:value2。输入或选择key1:value1进行搜索后,需添加AND或OR,才可以在搜索框中继续输入或选择key2:value2对两个条件同时进行搜索。 支持单击关键词弹出菜单项,有复制、添加到查询和从查询中排出三种操作。 复制:复制该字段 添加到查询:在查询的语句中添加“AND field: value ” 从查询中排出:在查询的语句中添加“NOT field: value” 搜索样例: 搜索含有start的所有日志:start。 搜索含有start to refresh的所有日志:start to refresh。 搜索同时包含start和unexpected的日志数据:start && unexpected。 搜索同时包含start和unexpected的日志数据:start AND unexpected。 搜索包含start或者unexpected的日志数据:start || unexpected。 搜索包含start或者unexpected的日志数据:start OR unexpected。 不包含query1的日志数据:NOT content : query1 。 搜索日志内容中含有error的所有日志:error*。 搜索日志内容中以“er”开头,以“or”结尾,并且中间有一个字符的所有日志:er?or。 搜索的关键词中含有分词符(:)时,搜索日志: content : "120.46.138.115:80" 或者 content : 120.46.138.115:80 。 搜索包含query1而且包含query2,但不包含query3的日志数据:query1 AND query2 AND NOT content : query3。 输入关键字查询日志时,关键字区分大小写,搜索的日志内容大小写敏感,高亮的日志内容大小写敏感。 全文搜索时,模糊搜索 “*”, “?” 不匹配特殊字符,例如:“-”、空格。 支持关键词模糊匹配搜索,关键词不能以“?”或“*”开头。例如:关键词可以输入"ER?OR"或"ER*R"。 使用关键词搜索时,当单条日志超过255长度时,可能无法精确查询。
-
日志搜索的常用操作 日志搜索的常用操作有一键展开/收起日志详情、添加告警、选择时间段展示日志、刷新等操作,具体参考如下表所示: 表1 操作 说明 一键展开/收起日志详情 单击按钮,可一键展开/收起日志详情。 添加告警 单击按钮,在弹出的新建告警规则页面,可配置告警规则。 选择时间段展示日志 单击下拉框选择时间段展示日志,支持的时间段有近1分钟、近5分钟、近15分钟、近1小时、近6小时、近1天、近1周及自定义时间段。 刷新日志 单击可对日志进行刷新,有两种方式刷新方式:手动刷新和自动刷新。 手动刷新:单击“手动刷新”可直接对日志进行刷新 自动刷新:选择自动刷新的间隔时间,将对日志进行自动刷新。间隔时间范围为15秒、30秒、1分钟和5分钟。 分享搜索日志 单击可复制当前日志搜索页面的链接,用于分享搜索日志。 导出搜索日志 单击搜索域旁边的,在弹出的下载日志页面中选择“本地下载”和“前往创建转储”。 本地下载:将日志文件直接下载到本地,单次下载支持最大5,000条日志。 在下拉框中选择“.csv”或“.txt”,单击“开始下载日志”,可将日志导出至本地 说明: 选择以CSV格式导出日志后,本地以表格形式保存日志的具体标签信息。 选择导出TXT格式日志后,本地会以.txt格式保存日志的日志内容。 前往创建转储:通过OBS转储任务下载日志文件,单次下载支持最大100万条日志。 单击“前往创建转储”,跳转至配置转储页面。
-
配置字段索引 登录云服务日志控制台,单击“日志管理”。 在日志组列表中,单击日志组名称左侧的,选择日志流,进入日志流管理界面。 在日志流详情页面,单击进入索引配置页面。 在索引配置页面中,配置字段索引。 配置有两种方式: 自动配置:单击“自动配置”,将全部显示日志结构化配置提取的字段和Tag字段。 手动添加字段配置:单击进行自定义字段索引配置。 手动添加字段为日志结构化配置提取的字段。 当修改了结构化配置,则字段索引不会修改,保留原有的配置。 完成后,单击确认。
-
操作步骤 在云日志服务管理控制台,单击“日志管理”。 在日志组列表中,单击日志组名称。 在日志流列表中,单击日志流名称。 您还可以在日志流“操作”列中,单击“搜索”进入日志流详情页面。 在日志流详情页面,单击创建快速查询,输入“快速查询名称”和“快速查询语句”。 快速查询名称,用于区分多个快速查询语句。名称自定义,需要满足如下要求: 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点或下划线开头,以小数点结尾。 长度为1-64个字符。 快速查询语句,搜索日志时需要重复使用的关键字,例如“error*”。 单击“确定”,完成快速查询条件的创建。 单击快速查询语句的名称,查看日志详情。 图1 查看快速查询语句
-
创建快速分析 可通过日志结构化打开“快速分析”按钮进行创建。也可通过如下步骤进行创建。 登录LTS控制台,在左侧导航栏中选择“日志管理”。 快速分析以日志流为单位,请在“日志管理”页面选择目标日志组和日志流。 单击“创建快速分析”或按钮,在展开的“管理快速分析”界面,选择快速分析的字段。 图1 管理快速分析 单击“确定”,快速分析创建完成。 图2 查看快速分析 表示String类型字段。 表示float类型字段。 表示long类型字段。 快速分析的字段长度最大为2000字节。 快速分析字段展示前100条数据。 单击快速分析右侧的,可以修改或者删除已添加的字段。如果您在结构化界面删除了某一字段,或者对字段名称进行了修改,快速分析会同步更新。 在快速分析的字段中,当结构化配置的字段在该时间段中不存在时,则会显示为null。 当字段为float或long类型时,单击null添加到搜索框中将显示为字段 : 0 OR NOT 字段 : *。 当字段为String类型时,单击null添加到搜索框中将显示为字段 : null OR NOT 字段 : *。
共5条
