日志服务：日志查询常见问题

如何在查询时判断日志的来源机器

如果通过Logtail采集日志时，机器组类型为IP地址机器组，机器组中的机器通过内网IP区分。在查询时，可以通过hostname和自定义配置的工作IP来判断日志的来源机器。

例如，统计日志中不同hostname出现的次数。

说明 已配置__tag__:__hostname__的字段索引并开启统计功能。

* | select "__tag__:__hostname__" , count(1) as count group by "__tag__:__hostname__"

如何在日志数据中搜索IP地址？

在日志数据中搜索IP地址，支持完全匹配的方式查询。您可以直接在日志数据中直接搜索指定IP地址相关的日志信息，比如包含指定IP地址、过滤指定IP地址等。但是目前尚不支持部分匹配的方式检索，即不能直接搜索IP地址的一部分，因为小数点（.）不是日志服务默认的分词项。如果需要部分匹配，建议自行过滤，例如使用SDK先下载数据后，在代码里使用正则表达式或者用string.indexof等方法搜索。

not ip:121.42.0 not status:200 not 360jk not DNSPod-Monitor not status:302 not jiankongbao
        not 301 and status:403

如何完成双重条件查询？

需要使用两个条件查询日志时，只需同时输入两个语句即可。

例如，需要在Logstore中查询数据状态不是OK或者Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。

日志服务提供哪些渠道查询日志？

日志服务提供如下三种方式查询日志：

1. 通过日志服务控制台查询。更多信息，请参见查询和分析日志。
2. 通过SDK查询。更多信息，请参见SDK。
3. 通过Restful API查询。更多信息，请参见GetLogs。

通过SDK可正常查询，但进行SQL分析时出现执行超时或网络错误问题，如何解决？

该问题可能是因为您客户端的网络防火墙拦截了带SQL分析关键字的请求。

建议您将访问域名切换为HTTPS形式，以排查客户端网络防火墙问题。