本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 发现日志
发现日志

Discover Logs 页面提供了一个专门的界面，用于浏览和分析 OpenSearch 服务可观测性工作空间中的日志数据。您可以编写 PPL 查询来筛选和聚合日志数据，直接根据查询结果创建可视化效果，并将这些可视化添加到仪表板中。该页面还提供由 OpenSearch AI 助手支持的自然语言查询帮助。

## 访问日志页面


在您的可观测性工作区中，展开左侧导航栏中的 “**发现**”，然后选择 “**日志**”。

## 探索日志数据


Discover Logs 界面提供了用于浏览日志数据的以下组件。

![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/images/discover-logs/discover-logs-interface.png)

+ **数据集选择器**-选择要查询的日志数据集。每个数据集都映射到您的 OpenSearch 服务域中的一个或多个索引。
+ **查询编辑器-编**写 PPL 查询以筛选、聚合和转换您的日志数据。编辑器提供自动完成建议和语法高亮显示。
+ **时间筛选器**-指定查询结果的时间范围。您可以选择相对范围或指定绝对的开始和结束时间。
+ **结果面板**-以日志事件表的形式查看查询结果。您可以展开单个事件以查看所有字段。
+ **直方图**-查看一段时间内日志事件的分布。直方图会根据您的查询和时间过滤器自动更新。
+ **字段面板**-浏览数据集中的可用字段，并将其作为列添加到结果表中。

## 使用 PPL 查询日志


管道处理语言 (PPL) 是一种使用基于管道的 (`|`) 语法链接命令的查询语言。您可以使用 PPL 筛选、聚合和转换日志数据。

### 基本查询


要检索数据集中的所有日志事件，请使用以下`source`命令：

```
source = my-logs-dataset
```

要限制结果数量，请使用以下`head`命令：

```
source = my-logs-dataset | head 20
```

### 使用 WHERE 过滤


使用子`where`句根据字段值筛选日志事件：

```
source = my-logs-dataset | where severity_text = 'ERROR'
```

您可以组合多个条件：

```
source = my-logs-dataset |
    where severity_text = 'ERROR' and service_name = 'payment-service'
```

### 管理查询


您可以保存常用的查询以供重复使用。要保存查询，请在查询编辑器工具栏中选择 “**保**存”，然后输入查询的名称。要加载已保存的查询，请选择 “**打开**”，然后从列表中选择查询。

有关 PPL 命令和函数的完整列表，请参阅[管道处理语言](https://observability.opensearch.org/docs/ppl/)参考。

## 根据日志创建可视化效果


您可以直接从 PPL 查询结果中创建可视化效果。使用`stats`命令聚合数据以进行可视化：

```
source = my-logs-dataset |
    stats count() as error_count by service_name, span(timestamp, 1h)
```

运行`stats`查询后，选择 “**可视化**” 选项卡以图表形式查看结果。

![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/images/discover-logs/discover-logs-visualization.png)


### 可视化类型


下表描述了您可以使用的可视化类型。


| Type | 说明 | 
| --- | --- | 
| 行 | 显示通过线连接的数据点，这对于显示一段时间内的趋势很有用。 | 
| 区域图 | 与填充了线条下方区域的折线图类似，可用于显示一段时间内的交易量。 | 
| 条形图 | 以垂直或水平条形式显示数据，这对于比较不同类别的值非常有用。 | 
| 指标 | 显示单个数值，可用于显示关键绩效指标。 | 
| 状态时间轴 | 以彩色条带形式显示状态随时间的变化，这对于监控状态转换非常有用。 | 
| 热图 | 将数据显示为彩色单元格的矩阵，这对于显示密度和图案很有用。 | 
| 条形仪表 | 将单个值显示为一定范围内的实心条，这对于显示接近阈值的进度很有用。 | 
| 饼图 | 将数据显示为圆的比例切片，这对于显示构图很有用。 | 

![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/images/discover-logs/discover-logs-viz-types.png)


### 可视化设置


当 “**可视化**” 选项卡处于活动状态时，屏幕右侧会出现一个设置面板。使用此面板可以配置图表类型、将字段映射到坐标轴以及自定义颜色和图例等视觉样式。

要切换可视化的轴，请使用设置面板中的轴配置。

![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/images/discover-logs/discover-logs-switch-axes.png)


## 向仪表板添加可视化效果


创建可视化后，您可以将其添加到仪表板以进行持续监控。在可视化工具栏中选择 “**保存到仪表**板”，然后选择现有仪表板或创建新仪表板。可视化与其底层 PPL 查询一起保存，以便在您打开仪表板时自动刷新。