构建查询
InsightOps允许用户通过LEQL, Regex, String, KeyValue或Keyword搜索来搜索他们的数据。
LEQL是什么?
强大的搜索语言日志条目查询语言(LEQL)允许您快速构造查询,以提取日志中的隐藏数据。为了方便您的搜索,LEQL由其他查询语言组成。
使用LEQL,您可以查找单个术语的出现情况,或者尝试绘制web站点在过去24小时内的响应时间图,以及其他许多用途。
为什么使用LEQL ?
LEQL遵循sql风格的语法,构造查询是简单而直观的,因为它结合了几种不同的语言,并允许您使用有用的LEQL查询栏。LEQL允许您以最简单的方式进行搜索,或者允许您编写更高级的查询来查找粒度信息。
我如何使用LEQL来构建查询?
查询栏有三种可以在构建查询时使用的模式。第一种模式是简单模式,它允许您使用鼠标选择所需的函数和键来构建查询。每次搜索都以在()语句,可以在其中将查询插入到where语句中。
第二种是高级模式,它允许您使用键盘输入完整的查询。有经验的用户可能会更快地找到这种模式,但是语法很严格,您必须记住可用的不同分析函数。
当文本框为空时,可以按下键查看和加载示例查询。
通过单击查询栏左侧的模式切换器,可以在简单模式和高级模式之间进行切换。如果您发现自己处于高级模式,查询无效,系统将阻止您返回简单模式。要返回简单模式,请删除查询或修复语法错误。
第三种模式是视觉搜索,它用交互式图表覆盖原始日志数据,允许您快速过滤日志数据。
运营商
InsightOps支持逻辑运算符和比较运算符,可以创建更复杂的搜索。下面的指南将介绍在构造查询时可用的两组操作符。
逻辑运算符
InsightOps支持以下逻辑运算符来创建全面的搜索条件。请注意,当构造一个搜索查询时,所有操作符都应该是大写的。
逻辑运算符 |
例子 |
描述 |
|---|---|---|
”和“ |
expr1和expr2 |
返回符合两个条件的日志事件 |
”或“ |
expr1或expr2 |
返回符合一个或两个条件的日志事件 |
“不” |
expr1不是expr2 |
返回匹配expr1而不是expr2的日志事件 |
比较运算符
比较运算符可以用于KVP搜索和正则表达式搜索。
比较运算符 |
例子 |
描述 |
|---|---|---|
== |
凯亚•= = KeyB |
返回键值相同的日志事件。使用此操作符比较键。您可以比较字符串或数值。 |
= = ! |
凯亚•!==KeyB |
返回键值不相同的日志事件。您可以输入字符串或数值。 |
= |
凯亚•= 3 |
返回键等于特定值的日志事件。使用这个来比较键。您可以输入数字或字符串值。 |
< |
凯亚• |
返回小于指定值的日志事件。您可以输入数值或键。 |
< = |
凯亚•< = KeyB或KeyA < = 3 |
返回小于或等于指定值的日志事件。您可以输入数值或键。 |
凯亚•> KeyB或KeyA > 3 |
返回大于指定值的日志事件。您可以输入数值或键。 |
|
|
凯亚•> = KeyB或KeyA > = 3 |
返回大于或等于指定值的日志事件。您可以输入数值或键。 |
格式的数值
数值必须格式化为整数、浮点值或科学记数法,以便能被InsightOps正确识别。单元不作为比较的一部分计算。例如,搜索值<100bytes将不会返回值=200bits的结果。