日志查詢指對采集至云日志服務的日志數據進行過濾、搜索的功能，例如查詢包含INFO的日志，是云日志服務中最常用的功能之一。

功能特性

• 全文模糊查詢：針對日志全文內容進行關鍵詞查詢，當日志原文滿足查詢條件時即可查詢到該日志，例如使用INFO關鍵詞查詢所有出現過 INFO 的日志。
• 鍵值查詢：針對日志內指定的字段進行查詢，當字段滿足查詢條件時即可查詢到該日志，例如使用 request_method:'POST' and status:200查詢POST請求且狀態碼為200的日志。其中，鍵值查詢支持交互模式與語句模式。
• 統計分析：針對符合查詢篩選條件的日志數據進行統計分析，返回統計分析結果，例如使用語句 status:500 | select count(*) as num 統計狀態碼為500的日志數量。

日志查詢步驟

1. 登錄。

2. 在日志管理頁面的日志項目列表中，點擊已創建的日志單元名稱，進入日志單元詳情頁面。

3. 在日志單元詳情頁面中，即可查看當前日志單元中的日志數據。

4. 查詢框由查詢語句和SQL分析語句組成，兩者通過管道符|聯動。詳情請見查詢語句語法與SQL語法。

   

5. 選擇需要查詢日志的時間段范圍，時間范圍有兩種方式，分別是相對時間和自定義時間。您可以根據自己的實際需求，選擇時間范圍。

   

   1. 相對時間：表示查詢距離當前時間5分鐘、1小時等時間區間的日志數據。例如當前時間為20:10:05，設置相對時間1小時，表示查詢19:10:05~20:10:05的日志數據，可在時間選擇界面左側直接選擇相對時間。
   2. 自定義時間：表示查詢指定時間范圍的日志數據，可在界面右側設置自定義時間。

交互式查詢

交互式查詢可用于于生成簡單的分析語句，只需在界面上選擇需要檢索的字段以及字段的過濾條件即可進行日志篩選，操作門檻低。

1. 單擊搜索框前面的【交互式查詢】按鈕，可打開交互式查詢面板。

2. 在面板下拉框中選擇您需要檢索的字段和條件，搜索框則會展示對應字段的值。根據業務需要，用戶可以自定義設置搜索方式，添加關聯關系或添加組進行搜索。
   

   1. 且（AND）表示在多個條件中需要同時滿足所有條件才能成立。
   2. 或（OR）表示在多個條件中只需滿足其中一個條件即可
   3. 輸入后在下方可預覽檢索語句，如有問題，可以修改檢索條件，操作簡單。

3. 設置完成后，點擊面板下方的“確定”按鈕，云日志服務將根據您設置的檢索條件進行日志查詢，在頁面下方即可查看檢索結果。

日志查詢常用操作

日志查詢的常用操作包括交互式查詢、上下文查詢等，具體如下：

創建快速查詢

點擊搜索框中的按鈕，可創建快速查詢，在彈窗中輸入快速查詢名稱與查詢語句。

創建完成后，將在左側的快速查詢列表中新增一條數據，您可直接點擊相應的查詢名稱中執行快速查詢。

刷新日志

點擊搜索框右側的【查詢】按鈕即可手動對日志進行刷新。

日志直方圖

展開日志直方圖，可查詢到日志在不同時間段的分布情況。將鼠標懸浮于數據塊上時，可以查看該數據塊代表的時間范圍和對應的日志條數。

復制日志

點擊日志數據中的按鈕，可快速復制日志內容。

換行/取消換行

打開【換行】開關，日志內容將根據日志字段進行換行顯示。若不需要換行，關閉換行開關即可。

展開/取消展開

關閉【展開】開關，日志內容默認顯示2行。打開【展開】開關后，日志內容將全部展開展示，

JSON格式化

打開【JSON格式化】開關，對于JSON格式的日志將展開層級展示。關閉該開關，將不會格式化層級顯示。

字段過濾

點擊【字段過濾】，可勾選您需要查看的字段，取消勾選的字段將被隱藏。

表格化展示

點擊【表格】按鈕，即可以表格的形式展示日志內容。每個日志字段將作為表格的字段列。

查詢上下文

日志中的上下文查詢是指定日志來源和其中一條日志，將該日志在原始文件中的前若干條（上文）或后若干條日志（下文）也同時檢索出來。通過查看指定日志的上下文信息，您可以在業務故障排查過程中快速查找相關故障信息，方便您快速定位問題與解決各類故障。詳情請查看上下文查詢。

下載日志

1. 點擊【下載】按鈕，選擇【下載日志】。

   

2. 在下載日志彈窗中設置相關參數，點擊確定后，即可創建下載任務。

3. 在導出記錄中查看所有下載任務，當下載任務完成后，在操作列點擊下載，即可將日志文件保存到本地。

說明
日志數據默認不壓縮, 若超過20M則使用gzip壓縮。
單次下載日志文件最大為200MB, 超過200MB則會自動截斷。
如需下載更多日志, 請使用日志轉儲對象存儲功能。

添加告警

點擊搜索框上方的【添加告警】按鈕，即可根據當前的日志單元與當前的查詢條件添加告警規則，詳情請查看告警規則。