云日志服務提供一套查詢分析語句，由查詢條件與SQL語句組成，兩者通過管道符豎線 | 分割。

• 查詢條件：通過查詢條件指定日志內容需要匹配的條件，返回符合該條件的日志。例如使用 'status:404' 查詢響應狀態碼為404的日志。檢索條件為空代表無檢索條件，即所有日志均可被查詢出來。
• SQL語句：通過SQL語句可針對符合檢索條件的日志進行統計分析，返回統計分析結果。例如使用以下查詢分析語句，統計響應狀態碼為404的日志數量。

  status:404 | select count(*) as num
  

本文主要介紹查詢語句語法，SQL語法與使用說明請查看SQL語法。若您只需要查詢日志，不需要進行統計分析，則可省略其中的管道符及SQL語句。

查詢方式

根據索引配置方式可分為全文搜索和字段搜索，根據搜索精確程度可分為精確搜索和模糊搜索。

以下為云日志服務提供的各種查詢方式介紹以及查詢語句示例。

全文查詢

• 前提條件：配置索引時開啟了全文索引，詳情請查看索引配置。

• 語法說明：日志單元配置全文索引后，日志服務將原始日志拆分成多個關鍵詞。您可直接輸入關鍵詞進行檢索。

  keyword1 [ [ and | or | not ] keyword2 ] ...
  

• 使用示例：以下示例均為搜索原文中同時包含ERROR和INFO關鍵詞的日志

  ERROR INFO
  

  ERROR and INFO
  

注意
__message__為日志原文對應的內置字段，查詢語句ERROR等同于__message__:ERROR，默認匹配日志原文的內容。
多個關鍵詞默認通過AND連接，查詢語句ERROR INFO等同于ERROR and INFO。

字段查詢

• 前提條件：配置索引時開啟了字段索引，詳情請查看索引配置。

• 語法說明：日志單元配置字段索引后，您可以指定字段名和字段值(key = value)進行搜索。根據字段索引中設置的數據類型，您可以進行多種類型的基礎搜索和組合搜索。

  keyname1 [ : | > | >= | < | <= | = | in ] value1 [ [ and | or | not ] keyname2 ... ]
  

• 使用示例：

  1. 檢索字段 level 為ERROR的日志：

  level: ERROR
  

  2. 檢索字段 latency（索引類型為double）大于100的日志：

  latency > 100
  

  3. 檢索字段 host為 test且 latency大于100的日志：

  host: test and latency > 100
  

注意
value參數不可為空，您可通過查詢語句key:""匹配字段值為空的日志。
字段查詢和 not 運算符配合使用時，還會匹配到不包含該字段的日志。

精確查詢

• 前提條件：配置索引時開啟了字段索引或全文索引，詳情請查看索引配置。

• 使用說明：使用精確的詞進行搜索。

• 使用示例

  1. 搜索字段 level為ERROR的日志:

     level: ERROR
     

  2. 搜索原文中同時包含ERROR和INFO關鍵詞的日志

     ERROR and INFO
     

模糊查詢

• 前提條件：配置索引時開啟了字段索引或全文索引，詳情請查看索引配置。

• 使用說明：在搜索查詢語句中指定一個詞，在詞的中間或者末尾加上模糊搜索關鍵字，星號（*）或問號（?），云日志服務會在所有日志中搜索到符合條件的詞，返回包含這些詞并滿足搜索條件的所有日志。

• 使用示例：

  1. 在所有日志中查找以GE開頭的詞，并返回包含這些詞的日志

     GE*
     

  2. 在所有日志中查找request_method字段值以GE開頭的詞，并返回包含這些詞的日志

     request_method:GE*
     

注意
星號（*）代表匹配多個字符，問號（?）代表匹配1個字符。
星號（*）或問號（?）不能用在詞的開頭。
double數據類型不支持使用星號（*）或問號（?）進行模糊搜索。

運算符

查詢語句支持以下運算符：

查詢語句示例

以下為常用查詢語句示例

普通查詢示例

進階模糊查詢示例