常见问题及解决方法
-
查询日志时提示查询结果不精确。
- 可能原因:查询时间范围内总日志量过多,当前控制台显示的是查询时间范围内部分日志查询的结果,为不精确结果。
- 解决方法:建议多次单击查询按钮,直至获得精确结果。或者减小查询时间范围后,再进行查询。
-
查询日志时匹配到的日志结果过多。
- 可能原因:只有短语搜索 #"value" 才能保证关键词出现的顺序。例如查询语句abc def搜索的是同时包含abc和def的日志,无法准确匹配包含短语abc def的日志。
- 解决方法:推荐采用短语搜索 #"abc def" ,可以准确匹配包含短语abc def的日志。
-
部分搜索语句查询不到预期的日志,且无报错提示。
- 可能原因1:不支持搜索分词符。
- 可能原因2:短语搜索语句中包含*或?时,视为普通字符,不作为通配符使用。
- 解决方法:请参考搜索语法修改为正确的查询语句。
报错提示及解决方法
- 查询日志时报错提示: XXX 字段未配置字段索引,不支持查询该字段 。
解决方法:请您在索引配置中创建XXX 字段的字段索引,重新执行查询语句。 - 查询日志时报错提示: 未开启全文索引,不支持查询content字段和全文查询 。
解决方法:请您在索引配置中开启全文索引,重新执行查询语句。 - 查询日志时报错提示: 星号(*)或问号(?)不支持使用在词的开头 。
解决方法:请您修改查询语句或合理的设置分词符,避免此类查询。 - 查询日志时报错提示: long和float类型的字段不支持使用星号(*)或问号(?)进行模糊查询 。
解决方法:请您修改查询语句,使用运算符(>=<)或 in 语法进行范围查询。 - 查询日志时报错提示: string类型的字段不支持使用运算符(>=<)或 in 语法进行范围查询 。
解决方法:
修改查询语句,使用星号(*)或问号(?)进行模糊查询。
请您重新配置结构化,将该字段修改为数字类型。 - 查询日志时报错提示: 搜索语法错误,请修改查询语句 。
- 可能原因:不符合运算符的语法规则。
解决方法:每种运算符都有其对应的语法规则,请修改搜索语句,详细请参见搜索语法。例如=运算符,语法规则要求右侧的value参数必须为数字类型。 - 可能原因:搜索语句中包含语法关键词。
解决方法:当日志中本身包含语法关键词且需要搜索时,搜索语句需要用双引号包裹,使其转变为普通字符。例如and为语法关键词,查询语句field:and需要修改为 field:"and" 。
- 可能原因:不符合运算符的语法规则。
