当您需要精确查询包含多个关键字的日志时,您可以使用like语法或短语查询。
日志样例
body_bytes_sent:1061
http_user_agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU) AppleWebKit/533.18.1 (KHTML, like Gecko) Version/5.0.2 Safari/533.18.5
remote_addr:192.0.2.2
remote_user:vd_yw
request_method:DELETE
request_uri:/request/path-1/file-5
status:207
time_local:10/Jun/2021:19:10:59查询需求
查询http_user_agent字段值中包含like Gecko的日志。
查询示例
本示例基于上述日志样例和查询需求进行查询。
短语查询
短语查询,可用于精准匹配一段短语。更多信息,请参见短语查询。
http_user_agent:#"like Gecko"Like语法
like语法满足标准的SQL like语法,在like语法中百分号(%)代表任意个字符,下划线 (_)代表单个字符。
正确的查询语句
* | Select * where http_user_agent like '%like Gecko%'其中,http_user_agent为日志字段。
错误的查询语句
使用如下查询语句,无法精确查询。查询结果将包含
like Gecko、Gecko like、like abc Gecko和Gecko abc like的日志。"like" and "Gecko"