日志搜索_云日志服务 LTS_用户指南_日志搜索与查看

搜索语法及样例

搜索语法：

如果原始日志中本身包含搜索语法的关键字（&&、||、AND、NOT、*、？、:），则不支持使用这些关键字来搜索日志。

搜索规则：

• 支持模糊搜索能力。

  例如：输入error*，可以查找所有含有error的日志且高亮以error开头的日志内容。

• 支持键与值格式的多条件组合搜索，格式为：key1:value1 [条件] key2:value2。

  例如：casInstanceID:in* AND hostIP:x.x.x.x AND kkfa，可以搜索出如下日志内容：

  {
  	"casApplicationName": "app",   
  	"casEnvironmentName": "env",
  	"hostName": "ecs-zc-xxxx",
  	"collectTime": "15838xxxxx",
  	"hostIP": "x.x.x.x",
  	"logContent": "4312341341341314 kkfa dfa\\n", （关键字内容）
  	"appName": "testhshroma",
  	"casInstanceID": "ins-111",
  	"hostId": "b32dcfc0-615b-4de6-a796-dfccaxxxxxx",
  	"casComponentID": "com-111"
  }

搜索样例：

• 搜索含有start的所有日志：start。
• 搜索含有start to refresh的所有日志：start to refresh。
• 搜索同时包含start和unexpected的日志数据：start && unexpected。
• 搜索同时包含start和unexpected的日志数据：start AND unexpected。
• 搜索包含start或者unexpected的日志数据：start || unexpected。

• 搜索包含start，不包含unexpected的日志数据：start NOT unexpected。
• 搜索日志内容中含有error的所有日志：error*。
• 搜索日志内容中以“er”开头，以“or”结尾，并且中间有一个字符的所有日志：er?or。
• 搜索包含query1而且包含query2，但不包含query3的日志数据：query1 AND query2 NOT query3。

• 输入关键字查询日志时，关键字区分大小写，搜索的日志内容大小写敏感，高亮的日志内容大小写敏感。
• 全文搜索时，模糊搜索 “*”, “?” 不匹配特殊字符，例如：“-”、空格。