查询语法
最近更新时间: 2023-02-15 13:46:57
日志分析LogMon支持全文检索和字段查询。全文检索包含:(1)关键字查询。例如:输入 get,匹配所有与get相关的日志,不区分大小写;(2)短语查询。使用双引号包裹需要查询的短语,例如:“Windows NT”;(3)模糊查询。在词的中间或者末尾加上模糊查询关键字,即(零次多次)和?(零次一次),返回匹配的日志。查询时必须指定前缀,即 和?不能出现在词的开头。指定的词越精确,查询结果越精确。字段查询中,字段说明:日志索引后会产生公共字段,匹配解析规则后会产生私有字段,可以通过公共字段和私有字段进行逻辑运算查询。运算符,如下所示:
| 名称 | 语义 |
| AND | query1 AND query2,查询交集 |
| OR | query1 OR query2,查询并集 |
| NOT | query1 AND NOT query2,表示符合 query1,不符合 query2的结果,如 NOT status:200 不包含 status 值为 200 的数据 |
| ( ) | 把一个或多个query合并成一个query,提升优先级,如 ip:(a OR b) 查询 ip 字段为 a 或者 b 的数据 |
| [ ] | 区间查询,包括边界,如 status:[400 TO 500] 查询 status 字段在 400 到 500 区间内的数据 |
| : | 用于 key-value 对的查询。term1:term2构成一个 key-value 对。如果 key 或者 value 内有空格( )、冒号(:)等保留字符,需要用双引号""把整个 key 或者 value 包裹起来 |
| \ | 转义字符,如正则表达式搜索时表达式包含反斜杠的情况,如 request_path:/\/query\/abc\/.*/ 查询 request_path 字段匹配正则表达式 /path/abc/.*的数据 |
| >,=,<,≥,≤ | 区间查询,如 status:>=500 查询 status 大于 500 的数据 |