搜索/过滤

搜索/过滤提供了功能强大、简单易用的方法来检索日志，可以快速过滤并找到相关的结果。

1. 搜索查找 如果我们带着一个搜索目标来查找日志，那么使用搜索查找就可以帮助我们更方便更简单地进行检索日志。在界面上，我们可以开启帮助说明来帮助我们更快地将搜索功能使用起来。 下面依次为您介绍每种搜索方法：

2. 模糊查找 —— 支持维度类型：string

   模糊查找可以帮助我们查找不精确的字段值，如查找exception字段中包含INFO的日志数据：

   exception: *INFO*
   

3. 字段过滤（完全匹配） —— 支持维度类型：string

字段过滤（完全匹配）可以帮助我们精确地搜索字段值，如查找message字段中字段值为hello word的日志数据：

message: "hello world"

• 数值范围查找 —— 支持维度类型：int、float、double、bigdecimal

数值范围可以帮助我们在限定的范围里搜索字段值，搜索数值的精度根据维度的类型来决定，精度与类型越匹配，搜索结果越准确。提供以下四种数值范围查找方式：

1. 如查找request_time字段的数值范围是0.020000-0.030000（且包含0.020000与0.030000）

   request_time:[0.020000 TO 0.030000]
   

2. 如查找request_time字段的数值范围是0.020000-0.030000（且不包含0.020000与0.030000）：

   request_time: {0.020000 TO 0.030000}
   

3. 如查找request_time字段的数值范围大于等于0.020000：

   request_time: [0.020000 TO *]
   

4. 如查找request_time字段的数值范围小于0.030000：

   request_time: {* TO 0.030000}
   

5. 时间范围查找 —— 支持维度类型：date

时间范围可以帮助我们查找在限定的时间范围里日志数据，与时间控件的选择是一样的功能。如查找2017年7月17日到2017年7月18日的日志数据：

event_time: [2017\-07\-17 TO 2017\-07\-18]

• 正则表达式查找 —— 支持维度类型：string。

正则表达式查找可以帮我们通过模版来简化查找的日志数据范围，如查找tel字段中13开头，后面9位任意数字的日志数据：

tel: /13[0-9]{9}/

• 否定查找（NOT布尔值） —— 支持类型：支持上述描述的查找方法的否定查找。

否定查找可以帮我们在查找中排除一些影响的因素，便于我们更清晰地查找需要的日志数据，如排除exception字段中包含INFO的日志信息：

*:* NOT exception: *INFO*

• 多个条件组合查找（AND/OR布尔值） —— 支持类型：支持上述描述的查找方法的组合使用。

多个条件组合可以帮我们查找一些组合条件的日志数据。如查找request_time字段是0.020000-0.030000且（extension字段的值为php或者html）的日志数据：

request_time: [0.020000 TO 0.030000] AND (extension:php OR extension:html)

1. 搜索辅助功能
2. 搜索刷新：点击搜索按钮，基于所选条件下更新到最新的日志数据；
3. 清空搜索：点击清空搜索框内的搜索条件，过滤层与时间筛选保持不变；
4. 保存书签：将所有的搜索条件、时间筛选、过滤条件都保存下来；

5. 选择书签：打开保存的书签，将书签存储的条件进行数据查询。

6. 时间过滤

点击左上角的时间控件，按照选定的时间进行快速过滤日志数据。 默认会为您提供两种可选日期范围的列表：

• 相对时间：“今天”、“本周”、“最近7天”、“最近30天”、“今年”等常用的动态时间范围。

• 相对当前时刻：“最近5分钟”“最近30分钟”“最近1小时”“最近6小时”等常用的动态时刻范围。 若您需要的日期范围未列在列表中，您也可以自定义日期筛选范围。  

• 维度过滤

点击展开维度，对维度值进行添加过滤以及排除过滤操作。

• 添加过滤：点击将维度值添加到过滤层中，那么日志记录只显示对该维度值筛选后的数据
• 排除过滤：点击将维度值添加到过滤层中，那么日志记录排除对该维度值筛选后的数据，显示排除后的全部数据。  

关于日志分析的介绍：

• 界面介绍
• 日志记录
• 图表统计