日志查询

日志采集主要提供两大功能的界面，日志查询、DashBoard两个。本章节描述日志查询的操作说明。

操作步骤

1. 进入日志服务。
2. 进入日志仓库管理，选择确定具体的日志仓库名称。
3. 选择日志查询，查看该日志仓库下的日志组的日志查询和快速查询信息。用户也可以选择具体的日志组，点击查询按钮，跳转到对应日志组的日志查询页面。

详细说明

日志查询的页面上，展示对应的日志仓库名称、日志组列表、日志查询列表（选项卡）、快速查询列表（选项卡），以及各种时间段的选择。提供查询搜索文本框，用户可以通过输入查询语句完成新的日志查询，目前查询语句只支持select语法。同时，在页面的右上角提供索引设置、另存为快速查询、报警设置三个快捷操作入口。用户单击索引设置，可以更新索引设置。用户单击另存为快速查询，可以将当前的查询语句存为快速查询，供下次直接使用。用户单击报警设置，可以完成对应快速查询的报警规则设置。同时，日志查询的页面中，会展示不同时间段内的日志数量分布情况。

在日志查询的下方，有两个选项卡分别为日志查询和统计分析。

• 日志查询选项卡
  有可选字段和所选字段。可选字段，即用户添加的索引字段。用户可以单击可选字段中的索引字段，即增加到所选字段列表中去，并在右边单独新增一列展示对应的字段名称和取值。

日志查询页面，每条查询到的内容（索引=值），都是一个可以点击的链接。当鼠标悬浮在具体索引的值上面时，显示为可点击的手掌图形。您可以通过点击该索引的值，系统自动完成key=value的追加查询，并高亮展示被选中的关键字，从而快捷缩小查询范围，提升查询效率。
可点击的链接效果如图所示。

快捷查询的效果如图所示。

• 统计分析选项卡
  有字段统计、字段分类统计、字段数值统计、数据分段统计、时间分段统计、**百分比统计 **、多级统计、地图分布统计等八种统计方法。

详细说明：

• 字段数值统计
  分组字段：该字段用于分组统计，即对这个字段有多少种取值进行分组。用户可以选择分组字段取值TOP10的数据进行二次统计，也可自定义选择分组字段的具体取值进行二次统计。
  统计字段(Y轴)：该字段作用于分组字段上，进行二次统计。即对分组字段进行取值分组后，再对各分组取值进行统计。如果统计字段为数值型字段，则统计方式有：总计、平均值、最大值、最小值。如果统计字段为非数值型字段，则统计方式只有计数。

  样例如下所示。
  分组字段：status。分组取值有：200、400、304、404。
  统计字段：remote_addr。对status取值为200、400、304、404的4个分组，进行remote_addr字段的计数统计。因为remote_addr为string类型，非数值类型，统计方式只有计数。

  

• 多级统计
  目前只支持二级统计，统计方式只支持分组统计。功能类似字段数值统计。对统计字段的取值进行分组统计，用户选择统计字段的具体取值，进行二次统计。二次统计的字段类型如果为数值型，则统计方式有：总计、平均值、最大值、最小值。如果二次统计的字段类型为非数值型，则统计方式只有计数。

  样例如下所示。
  一级统计
  

  二级统计