常見問題及解決方法

1. 查詢日志時提示查詢結果不精確。

   • 可能原因：查詢時間范圍內總日志量過多，當前控制臺顯示的是查詢時間范圍內部分日志查詢的結果，為不精確結果。
   • 解決方法：建議多次單擊查詢按鈕，直至獲得精確結果。或者減小查詢時間范圍后，再進行查詢。

2. 查詢日志時匹配到的日志結果過多。

   • 可能原因：只有短語搜索 #"value" 才能保證關鍵詞出現的順序。例如查詢語句abc def搜索的是同時包含abc和def的日志，無法準確匹配包含短語abc def的日志。
   • 解決方法：推薦采用短語搜索 #"abc def" ，可以準確匹配包含短語abc def的日志。

3. 部分搜索語句查詢不到預期的日志，且無報錯提示。

   • 可能原因1：不支持搜索分詞符。
   • 可能原因2：短語搜索語句中包含*或?時，視為普通字符，不作為通配符使用。
   • 解決方法：請參考搜索語法修改為正確的查詢語句。

報錯提示及解決方法

1. 查詢日志時報錯提示： XXX 字段未配置字段索引，不支持查詢該字段 。
   解決方法：請您在索引配置中創建XXX 字段的字段索引，重新執行查詢語句。
2. 查詢日志時報錯提示： 未開啟全文索引，不支持查詢content字段和全文查詢 。
   解決方法：請您在索引配置中開啟全文索引，重新執行查詢語句。
3. 查詢日志時報錯提示： 星號（*）或問號（?）不支持使用在詞的開頭 。
   解決方法：請您修改查詢語句或合理的設置分詞符，避免此類查詢。
4. 查詢日志時報錯提示： long和float類型的字段不支持使用星號（*）或問號（?）進行模糊查詢 。
   解決方法：請您修改查詢語句，使用運算符（>=<）或 in 語法進行范圍查詢。
5. 查詢日志時報錯提示： string類型的字段不支持使用運算符（>=<）或 in 語法進行范圍查詢 。
   解決方法：
   修改查詢語句，使用星號（*）或問號（?）進行模糊查詢。
   請您重新配置結構化，將該字段修改為數字類型。
6. 查詢日志時報錯提示： 搜索語法錯誤，請修改查詢語句 。
   • 可能原因：不符合運算符的語法規則。
     解決方法：每種運算符都有其對應的語法規則，請修改搜索語句，詳細請參見搜索語法。例如=運算符，語法規則要求右側的value參數必須為數字類型。
   • 可能原因：搜索語句中包含語法關鍵詞。
     解決方法：當日志中本身包含語法關鍵詞且需要搜索時，搜索語句需要用雙引號包裹，使其轉變為普通字符。例如and為語法關鍵詞，查詢語句field:and需要修改為 field:"and" 。