日志查询指对采集至云日志服务的日志数据进行过滤、搜索的功能，例如查询包含INFO的日志，是云日志服务中最常用的功能之一。

功能特性

• 全文模糊查询：针对日志全文内容进行关键词查询，当日志原文满足查询条件时即可查询到该日志，例如使用INFO关键词查询所有出现过 INFO 的日志。
• 键值查询：针对日志内指定的字段进行查询，当字段满足查询条件时即可查询到该日志，例如使用 request_method:'POST' and status:200查询POST请求且状态码为200的日志。其中，键值查询支持交互模式与语句模式。
• 统计分析：针对符合查询筛选条件的日志数据进行统计分析，返回统计分析结果，例如使用语句 status:500 | select count(*) as num 统计状态码为500的日志数量。

日志查询步骤

1. 登录云日志服务控制台。

2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。

3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。

4. 查询框由查询语句和SQL分析语句组成，两者通过管道符|联动。详情请见查询语句语法与SQL语法。

   

5. 选择需要查询日志的时间段范围，时间范围有两种方式，分别是相对时间和自定义时间。您可以根据自己的实际需求，选择时间范围。

   

   1. 相对时间：表示查询距离当前时间5分钟、1小时等时间区间的日志数据。例如当前时间为20:10:05，设置相对时间1小时，表示查询19:10:05~20:10:05的日志数据，可在时间选择界面左侧直接选择相对时间。
   2. 自定义时间：表示查询指定时间范围的日志数据，可在界面右侧设置自定义时间。

日志查询常用操作

日志查询的常用操作包括交互式查询、上下文查询等，具体如下：

交互式查询

• 单击搜索框前面的按钮，可切换至交互式查询模式。在交互模式下，点击搜索框中的【添加检索条件】，并选择需要进行查询的字段以及查询条件，即可快速进行查询，无需填写查询语句。

  

• 每个查询条件均可设置多个指定值，多个值之间为或的关系,点击确定后即可成功添加一个查询条件。

  

• 支持添加多个查询条件，查询条件之间的关系为且。

  

创建快速查询

点击搜索框中的按钮，可创建快速查询，在弹窗中输入快速查询名称与查询语句。

创建完成后，将在左侧的快速查询列表中新增一条数据，您可直接点击相应的查询名称中执行快速查询。

刷新日志

点击搜索框右侧的【查询】按钮即可手动对日志进行刷新。

日志直方图

展开日志直方图，可查询到日志在不同时间段的分布情况。将鼠标悬浮于数据块上时，可以查看该数据块代表的时间范围和对应的日志条数。

复制日志

点击日志数据中的按钮，可快速复制日志内容。

换行/取消换行

打开【换行】开关，日志内容将根据日志字段进行换行显示。若不需要换行，关闭换行开关即可。

展开/取消展开

关闭【展开】开关，日志内容默认显示2行。打开【展开】开关后，日志内容将全部展开展示，

JSON格式化

打开【JSON格式化】开关，对于JSON格式的日志将展开层级展示。关闭该开关，将不会格式化层级显示。

字段过滤

点击【字段过滤】，可勾选您需要查看的字段，取消勾选的字段将被隐藏。

表格化展示

点击【表格】按钮，即可以表格的形式展示日志内容。每个日志字段将作为表格的字段列。

查询上下文

日志中的上下文查询是指定日志来源和其中一条日志，将该日志在原始文件中的前若干条（上文）或后若干条日志（下文）也同时检索出来。通过查看指定日志的上下文信息，您可以在业务故障排查过程中快速查找相关故障信息，方便您快速定位问题与解决各类故障。详情请查看上下文查询。

下载日志

1. 点击【下载】按钮，选择【下载日志】。

   

2. 在下载日志弹窗中设置相关参数，点击确定后，即可创建下载任务。

3. 在导出记录中查看所有下载任务，当下载任务完成后，在操作列点击下载，即可将日志文件保存到本地。

说明
日志数据默认不压缩, 若超过20M则使用gzip压缩。
单次下载日志文件最大为200MB, 超过200MB则会自动截断。
如需下载更多日志, 请使用日志转储对象存储功能。

添加告警

点击搜索框上方的【添加告警】按钮，即可根据当前的日志单元与当前的查询条件添加告警规则，详情请查看告警规则。