日志服务在日志检索的基础上提供实时数据分析能力,支持海量日志数据的实时检索与分析,基于日志检索结果进行 SQL 分析与计算,并以分析图表的方式展示分析结果。
限制项 | 说明 |
|---|---|
数据量 | 单个 Shard 单次仅支持分析 1 GiB 数据。 |
检索分析语句长度 | 单条检索分析语句最大长度为 50,000 字符,其中检索语句部分最大长度为 4,096 字符。 |
操作并发数 |
说明
|
数据生效机制 | 分析功能只对开启统计功能后写入的数据生效。对于未打开统计功能的字段,SQL 分析结果展示为空。 |
SQL 分析仅对最新版本索引对应的数据生效。修改索引之前的数据可检索,不参与 SQL 分析。 | |
超时时间 | 查询操作的超时时间为 55s。 |
结果条数 | 每次分析时,默认返回结果 100 条。 |
在日志服务的检索分析页面中输入检索分析语句,并指定日志的时间范围和日志主题即可进行实时的日志检索与分析。具体操作步骤请参考分析日志。
检索分析语句由检索条件和 SQL 分析语句构成,两者通过英文竖线(|)分割,表示在检索条件筛选过的数据中进行分析与计算。
检索分析语句的结构:
&{检索条件} | &{SQL分析语句}
其中:
如果需要分析日志数据,则必须同时输入检索条件和 SQL 分析语句。
说明
'time' 代表字符串,time 或 "time" 代表字段名或列名。检索分析语句示例:
分析范围 | 检索分析语句示例 | 说明 |
|---|---|---|
基于全量数据进行日志分析 |
| 统计不同状态码的访问次数。 |
基于检索结果进行日志分析 |
| 在状态码为 200 的请求中统计访问次数。 |
日志服务支持多种 SQL 分析函数和语法。
函数 | 说明 |
|---|---|
对一组值执行计算并返回单一的值。 | |
支持对日志中的日期和时间进行格式转换,分组聚合等处理。 | |
支持使用指定的分隔符对字符串进行拆分。 | |
通过正则表达式匹配进行字符串替换等操作。 | |
对数值类数据进行同比、环比。 | |
计算数值类数据。 | |
对数值进行统计学分析与计算。 | |
解析数组形式的数据。 | |
解析 JSON 格式等数据。 | |
通过 IP 地址分析其所属城市、国家、运营商等信息。 | |
支持 URL 中进行提取、编码解码等分析操作。 | |
对数值类数据进行估算。 | |
解析二进制类型的数据。 | |
对二进制类型的数据进行 AND、OR、NOT 等位运算。 | |
对经纬度进行 Geohash 编码。 | |
支持 BAR、COLOR 等颜色函数 | |
分析中国内地地域电话号码的归属地、运营商等信息。 | |
换算数据量或时间间隔的单位。 | |
支持在滑动的时间窗口中查询事件链并计算事件链中发生的最大连续事件数。 | |
用于聚合、排序等操作。不同于普通聚合函数,窗口函数支持为每一行数据生成一个结果。 | |
转换及查看字段的数据类型。 | |
支持加法、减法、乘法、除法等运算。 | |
支持多种比较运算符,用于判断值的大小关系。 | |
支持 AND、OR 和 NOT 逻辑运算。 |
语法 | 说明 |
|---|---|
从表中选取列数据,默认从当前日志主题中选取符合筛选条件的数据。 | |
为指定的字段名称指定别名。 | |
结合聚合函数,根据一个或多个字段对查询分析的结果进行分组。 | |
根据指定的字段名对检索和分析结果进行排序。 | |
限制由 SELECT 语句返回的数据数量,即输出结果的行数。 | |
在 SELECT 子句中使用,用于对某一列去重。 | |
提取满足指定条件的日志。 | |
将一个 SELECT 语句嵌套在另一个 SELECT 语句中,表示先对原始数据进行 SELECT 统计分析,再基于分析结果进行二次统计分析。 | |
用于连表查询。 | |
合并多个 SELECT 子句的分析结果。 |