当您要精确查询包含多个关键字的日志时,您可以使用like语法进行查询。

  • 日志样例
    body_bytes_sent:1061
    http_user_agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU) AppleWebKit/533.18.1 (KHTML, like Gecko) Version/5.0.2 Safari/533.18.5
    remote_addr:192.0.2.2
    remote_user:vd_yw
    request_method:DELETE
    request_uri:/request/path-1/file-5
    status:207
    time_local:10/Jun/2021:19:10:59
  • 查询需求

    查询http_user_agent字段值中包含like Gecko的日志。

  • 错误的查询语句
     "like" and "Gecko"

    使用该查询语句,无法精确查询,查询结果将包含like GeckoGecko likelike abc GeckoGecko abc like 的日志。

  • 正确的查询语句
    * | Select * where http_user_agent like '%like Gecko%'

    其中,http_user_agent为日志字段。

    like语法满足标准的SQL like语法,在like语法中百分号(%)代表任意个字符。下划线 (_)代表单个字符。