平安云 - 云以致用智造未来

本文主要介绍平安云日志服务支持的查询日志方式，包括：关键字查询、短语查询、模糊查询、键值查询及组合条件查询。

关键字查询

关键字查询：指定关键字或指定关键字和查询语法的组合条件查询。

例如：a AND b，表示查询同时包含关键字a和关键字b的日志。

短语查询

短语查询：指定短语时，若短语中包含空格，需要使用双引号“”，表示将双引号中的内容作为一个完整的短语查询。

例如：“hello pingan cloud”，表示查询包含hello pingan cloud的日志。

模糊查询

模糊查询：指定关键字的中间或结尾加上模糊查询关键字*或？，表示日志服务会在包含指定关键字开始的前10000条日志。

例如：hello*，表示查询包含以hello开始的关键字的日志。

键值查询

平安云支持两种键值查询：

方式1：指定日志服务默认提取出的键值对查询。

重要：

平安云日志服务目前默认提取6种键值对：appname、message、source、collector_node_id、file及timestamp。具体键值信息，可参考核心概念的日志。
若不指定键值对，仅使用关键字或关键字和查询语法的组合条件等查询时，默认查询Message键值对即在整条日志中查询。

例1：appname:UUID-name，表示查询指定appname键值对，查询指定项目名称的日志。

说明： UUID-name 的获取方式：在日志服务管理控制台，单击左侧导航栏项目管理，在项目列表页面单击目标项目名称，在URL中记录下图红框中的内容，即为项目ID（UUID）。

例2：source:UUID-source，表示查询指定主机名称的ECS云主机的日志。

说明： UUID-source的获取方式：在云服务器ECS管理控制台，单击左侧导航栏实例，在实例管理页面单击实例名称，在实例详情页面查看主机名，即为ECS云主机名称。

例3：collector_node_id:IP-address，表示查询指定IP地址的ECS云主机的日志。

说明： IP-address的获取方式：在云服务器ECS管理控制台，单击左侧导航栏实例，在实例管理页面单击实例名称，在实例详情页面查看内网IP。

例4：file:file-name，表示查询指定采集路径的日志。

说明： file-name的获取方式：在日志服务管理控制台，单击左侧导航栏项目管理，在项目列表页面单击目标项目名称，在AGENT配置页签，查看目标日志路径。

方式2：针对Nginx日志，若待查询内容为double或long类型时，可指定数值范围进行查询。

例如：request_time> 300 AND NOT status:200，表示查询request_time（请求处理耗时）超过300毫秒且status（返回状态）不是200的HTTP请求日志。

组合条件查询

指定关键字和查询语法，如 AND、OR或 ( ) 等查询日志。

例1：appname:Project1_UUID AND (collector_node_id:10.0.0.2 OR collector_node_id:10.0.0.3) AND “hello world”，表示查询属于日志项目Project1，并且采集自10.0.0.2和10.0.0.3两台ECS云主机，同时含有关键字“hello world”的日志。
例2：（（source:HOST1 OR source:HOST2） AND （file:/var/log/*.log）） AND “hello world”，表示查询包含“hello world”、采集路径为/var/log/*.log并且采集云主机为HOST1或者HOST2的日志。

以上内容是否解决了您的问题？是否