日志服务支持秒级查询10亿级别的日志数据。本文介绍查询功能的基本语法、使用限制及操作方式等内容。

基本语法

查询语句和分析语句以竖线(|)分割。查询语句的语法为日志服务专有语法,更多信息,请参见查询语法
说明
  • 查询语句可单独使用,分析语句必须与查询语句一起使用。即分析功能是基于查询结果或全量数据进行的。
  • 如果您需要查询百亿级的日志数据量,您可以反复执行(10次以内)某查询语句获取最终完整的结果。
  • 基本语法
    查询语句|分析语句
    语句类型 说明
    查询语句 查询语句用于指定日志查询时的过滤规则,返回符合条件的日志。

    查询语句可以为关键词、数值、数值范围、空格、星号(*)等。 如果为空或星号(*),表示无过滤条件。更多信息,请参见查询语法
    分析语句 分析语句用于对查询结果或全量数据进行计算和统计。更多信息,请参见实时分析简介
  • 示例 
    * | SELECT status, count(*) AS PV GROUP BY status

使用限制

  • 单个Project支持的最大查询操作并发数为1000个。

    例如1000个用户同时在同一个Project的各个Logstore中执行查询操作。

  • 单次查询最多支持30个关键词。
  • 单个字段值的最大长度为10 KB,超出部分不参与查询。
  • 每页最多显示100条查询结果,您可翻页读取完整的查询结果。
  • 由于网页浏览器性能原因,单条日志超过1万个字符时,日志服务只对前1万个字符进行DOM切词处理。
  • 执行模糊查询时,日志服务最多查询到符合条件的100个词,返回包含这100个词并满足查询条件的所有日志。

操作方式

注意 在查询日志前,请确保您已采集到日志,已配置索引。索引是一种存储结构,用于对日志数据中的一列或多列进行排序。更多信息,请参见配置索引