新闻中心News
网站服务器日志查询常见问题 [2019-09-25 11:02:35] 点击数量:

如何在查询时判断日志的来源机器

如果通过Logtail采集日志时,机器组类型为IP地址机器组,机器组中的机器通过内网IP区分。在查询时,可以通过hostname和自定义配置的工作IP来判断日志的来源机器。

例如,统计日志中不同hostname出现的次数。
 
说明 需要提前开启日志索引功能并给__tag__:__hostname__字段开启统计功能。
 
* | select "__tag__:__hostname__" , count(1) as count group by "__tag__:__hostname__"

如何在日志数据中搜索IP地址?

在日志数据中搜索IP地址,支持全部匹配的方式检索。您可以直接在日志数据中直接搜索指定IP地址相关的日志信息,比如包含指定IP地址、过滤指定IP地址等。但是目前尚不支持部分匹配的方式检索,即不能直接搜索IP地址的一部分,因为小数点不是日志服务默认的分词项。如果需要的话,建议自行过滤,比如用SDK先下载数据,然后在代码里用正则或者用string.indexof等方法判断。

例如,在日志服务的Project中搜索条件如下。
 
not ip:121.42.0 not status:200 not 360jk not DNSPod-Monitor not status:302 not jiankongbao
        not 301 and status:403

搜索结果中仍会出现121.42.0网段地址。因为日志服务会认为121.42.0.x是一个词,所以只有搜121.42.0.x能搜到结果,而121.42.0的话不会搜到这个结果,同理加上not也就不会过滤该地址。

如何在日志中搜索包含空格的关键字?

搜索包含空格的关键字时,如果直接搜索,则会得到包含空格左侧关键字或右侧关键字的所有日志。建议您在查询的包含空格的关键字时,把关键字用双引号包裹起来,将引号中的内容作为一个关键字进行搜索,搜索结果就是符合条件的日志内容。

例如,在以下日志中搜索包含关键字POS version的日志。

 
post():351]: device_idBTAddr : B6:xF:xx:65:xx:A1 IMEI : 35847xx22xx81x9 WifiAddr : 4c:xx:0e:xx:4e:xx | user_idbb07263xxd2axx43xx9exxea26e39e5f POS version:903

如果直接搜索POS version,则会得到包含POS或者version的所有日志,不符合搜索要求。如果搜索"POS version",则会得到包含关键字POS version的所有日志。

如何完成双重条件检索?

双重条件检索时,只需同时输入两个语句即可。

例如,需要在Logstore中搜索数据状态不是OK或者Unknown的日志。直接搜索not OK not Unknown即可得到符合条件的日志。

日志服务提供哪些渠道查询采集的日志?

日志服务提供了三种方式查询日志:

  1. 通过日志服务控制台查询。
  2. 通过SDK查询。
  3. 通过Restful API查询。

相关热词搜索:

分享到:
下一篇: 最后一页