Simple Log Service：查詢與分析常見問題

如何在查詢時判斷日誌的來源機器

• Logtail採集配置應用於機器組，如果機器群組類型為IP地址機器組，則可以使用內網IP對機器進行區分。

• 建立索引後，Log Service預設為__tag__:__hostname__建立索引，查詢時輸入__tag__:__hostname__:XXX。__tag__欄位的設定和說明，請參見保留欄位。例如，執行以下語句，統計日誌中不同hostname出現的次數。

  * | select '__tag__:__hostname__' , count(1) as count group by '__tag__:__hostname__'

如何在日誌資料中搜尋IP地址？

• 查詢某個IP地址。

  __tag__:__client_ip__:192.0.2.1

• 查詢192.0.2.開頭的日誌。

  __source__:192.0.2.*

• 查詢包含192.168.XX.XX的日誌。還可以使用Regex進行模糊查詢，請參見如何模糊查詢日誌？。

  * | select * from log where key like '192.168.%.%'

如何完成雙重條件查詢？

需要使用兩個條件查詢日誌時，只需同時輸入兩個語句即可。

例如，需要在Logstore中查詢資料狀態不包含OK，也不包含Unknown的日誌。直接搜尋not OK not Unknown即可得到合格日誌。

Log Service提供哪些渠道查詢日誌？

Log Service提供如下三種方式查詢日誌：

• 通過Log Service控制台查詢。在控制台查詢分析日誌的步驟，請參見查詢與分析快速指引。

• 通過SDK查詢。更多資訊，請參見SDK參考概述。

• 通過RESTful API查詢。更多資訊，請參見GetLogs - 查詢日誌庫日誌。

通過SDK可正常查詢，但進行SQL分析時出現執行逾時或網路錯誤問題，如何解決？

該問題可能是因為您用戶端的網路防火牆攔截了帶SQL分析關鍵字的請求。

建議您將訪問網域名稱切換為HTTPS形式，以排查用戶端網路防火牆問題。

為什麼查詢和分析時，欄位值會被截斷？

Log Service查詢和分析的欄位值長度存在如下限制。

• 查詢時，單個欄位值最大長度為512 KB（524,288 位元組），超出部分不參與查詢。

• 分析時，預設支援的欄位值最大長度為2 KB（2,048位元組），最大可調整為16 KB（16,384位元組）。

當單個欄位值長度超過最大長度時，超出部分被截斷，不參與查詢和分析。

設定欄位的最大長度

您可通過修改分析規則調整欄位最大長度限制，該配置修改僅對新增採集的日誌資料生效（歷史已儲存資料不受影響）。

1. 登入Log Service控制台。

2. 在Project列表地區，單擊目標Project。

   

3. 在日誌儲存 > 日誌庫頁簽中，單擊目標Logstore。

   

4. 單擊查詢分析屬性 > 屬性。

   

5. 在查詢分析頁面底部設定統計欄位（text）最大長度，取值範圍為64~16384位元組。

   

如何分析停用字詞段？

如果您要分析日誌但未提前建立索引或無法建立索引，可參考以下方式解決。

• 建立或重建索引

  • 如果是分析新寫入的日誌，則直接為目標欄位建立索引且開啟統計功能。具體操作，請參見建立索引。

  • 如果是分析歷史日誌，則需要對歷史日誌重建索引且開啟統計功能。具體操作，請參見重建索引。

• 開啟掃描模式

  如果您無法建立索引，可以開啟掃描（Scan）模式，通過掃描分析功能，分析日誌。具體操作，請參見掃描（Scan）分析文法、掃描（Scan）日誌。

如何修改SQL查詢語句輸出結果的行數？

在執行查詢分析語句時，Log Service預設會在查詢分析語句結尾追加limit 100，您可以使用LIMIT子句修改返回結果行數，具體操作請參見LIMIT子句。