本文介绍日志查询常见问题。

如何在查询时判断日志的来源机器

如果通过Logtail采集日志时,机器组类型为IP地址机器组,机器组中的机器通过内网IP区分。在查询时,可以通过hostname和自定义配置的工作IP来判断日志的来源机器。

例如,统计日志中不同hostname出现的次数。
说明 已配置 __tag__:__hostname__的字段索引并开启统计功能。
* | select "__tag__:__hostname__" , count(1) as count group by "__tag__:__hostname__"

如何在日志数据中搜索IP地址?

在日志数据中搜索IP地址,支持完全匹配的方式查询。您可以直接在日志数据中直接搜索指定IP地址相关的日志信息,比如包含指定IP地址、过滤指定IP地址等。但是目前尚不支持部分匹配的方式检索,即不能直接搜索IP地址的一部分,因为小数点(.)不是日志服务默认的分词项。如果需要部分匹配,建议自行过滤,例如使用SDK先下载数据后,在代码里使用正则表达式或者用string.indexof等方法搜索。

例如执行如下查询语句,查询结果中仍会出现121.42.0网段地址。
not ip:121.42.0 not status:200 not 360jk not DNSPod-Monitor not status:302 not jiankongbao
        not 301 and status:403

如何完成双重条件查询?

需要使用两个条件查询日志时,只需同时输入两个语句即可。

例如,需要在Logstore中查询数据状态不是OK或者Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。

日志服务提供哪些渠道查询日志?

日志服务提供如下三种方式查询日志:

  1. 通过日志服务控制台查询。更多信息,请参见查询和分析日志
  2. 通过SDK查询。更多信息,请参见SDK
  3. 通过Restful API查询。更多信息,请参见GetLogs