本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
发现日志
Discover Logs 页面提供了一个专门的界面,用于浏览和分析 OpenSearch 服务可观测性工作空间中的日志数据。您可以编写 PPL 查询来筛选和聚合日志数据,直接根据查询结果创建可视化效果,并将这些可视化添加到仪表板中。该页面还提供由 OpenSearch AI 助手支持的自然语言查询帮助。
访问日志页面
在您的可观测性工作区中,展开左侧导航栏中的 “发现”,然后选择 “日志”。
探索日志数据
Discover Logs 界面提供了用于浏览日志数据的以下组件。
-
数据集选择器-选择要查询的日志数据集。每个数据集都映射到您的 OpenSearch 服务域中的一个或多个索引。
-
查询编辑器-编写 PPL 查询以筛选、聚合和转换您的日志数据。编辑器提供自动完成建议和语法高亮显示。
-
时间筛选器-指定查询结果的时间范围。您可以选择相对范围或指定绝对的开始和结束时间。
-
结果面板-以日志事件表的形式查看查询结果。您可以展开单个事件以查看所有字段。
-
直方图-查看一段时间内日志事件的分布。直方图会根据您的查询和时间过滤器自动更新。
-
字段面板-浏览数据集中的可用字段,并将其作为列添加到结果表中。
使用 PPL 查询日志
管道处理语言 (PPL) 是一种使用基于管道的 (|) 语法链接命令的查询语言。您可以使用 PPL 筛选、聚合和转换日志数据。
基本查询
要检索数据集中的所有日志事件,请使用以下source命令:
source = my-logs-dataset要限制结果数量,请使用以下head命令:
source = my-logs-dataset | head 20使用 WHERE 过滤
使用子where句根据字段值筛选日志事件:
source = my-logs-dataset | where severity_text = 'ERROR'您可以组合多个条件:
source = my-logs-dataset |
where severity_text = 'ERROR' and service_name = 'payment-service'管理查询
您可以保存常用的查询以供重复使用。要保存查询,请在查询编辑器工具栏中选择 “保存”,然后输入查询的名称。要加载已保存的查询,请选择 “打开”,然后从列表中选择查询。
有关 PPL 命令和函数的完整列表,请参阅管道处理语言
根据日志创建可视化效果
您可以直接从 PPL 查询结果中创建可视化效果。使用stats命令聚合数据以进行可视化:
source = my-logs-dataset |
stats count() as error_count by service_name, span(timestamp, 1h)运行stats查询后,选择 “可视化” 选项卡以图表形式查看结果。
可视化类型
下表描述了您可以使用的可视化类型。
| Type | 说明 |
|---|---|
| 行 | 显示通过线连接的数据点,这对于显示一段时间内的趋势很有用。 |
| 区域图 | 与填充了线条下方区域的折线图类似,可用于显示一段时间内的交易量。 |
| 条形图 | 以垂直或水平条形式显示数据,这对于比较不同类别的值非常有用。 |
| 指标 | 显示单个数值,可用于显示关键绩效指标。 |
| 状态时间轴 | 以彩色条带形式显示状态随时间的变化,这对于监控状态转换非常有用。 |
| 热图 | 将数据显示为彩色单元格的矩阵,这对于显示密度和图案很有用。 |
| 条形仪表 | 将单个值显示为一定范围内的实心条,这对于显示接近阈值的进度很有用。 |
| 饼图 | 将数据显示为圆的比例切片,这对于显示构图很有用。 |
可视化设置
当 “可视化” 选项卡处于活动状态时,屏幕右侧会出现一个设置面板。使用此面板可以配置图表类型、将字段映射到坐标轴以及自定义颜色和图例等视觉样式。
要切换可视化的轴,请使用设置面板中的轴配置。
向仪表板添加可视化效果
创建可视化后,您可以将其添加到仪表板以进行持续监控。在可视化工具栏中选择 “保存到仪表板”,然后选择现有仪表板或创建新仪表板。可视化与其底层 PPL 查询一起保存,以便在您打开仪表板时自动刷新。
