日志详情¶
点击日志列表,即可划出当前日志的详情页,查看日志的详细信息,包括日志产生的时间、主机、来源、服务、内容、扩展字段、查看上下文等多项信息。
查看完整日志¶
日志上报到观测云时,若数据超过 1M 大小,会按照 1M 标准切分,即一条日志 2.5M,会被分割为 3 条(1M/1M/0.5M)。切割后的日志可通过以下字段查看相关完整性:
字段 |
类型 | 描述 |
|---|---|---|
__truncated_id |
string | 表示日志唯一标识,切分出多条日志,使用相同的 __truncated_id,ID 前缀为 LT_xxx。 |
__truncated_count |
number | 表示切分出的日志总条数。 |
__truncated_number |
number | 表示日志的切分顺序,从 0 开始,0 表示日志开始的那一条。 |
在日志详情页,若当前日志被切割成多条,右上角会显示查看完整日志按钮。点击该按钮会打开新页,并根据日志的切分顺序列出所有相关日志,同时页面会通过颜色标注跳转前选中的日志,帮助定位上下游。
Obsy AI 错误分析¶
观测云提供一键解析错误日志的能力。其利用大模型自动提取日志中的关键信息,并结合在线搜索引擎和运维知识库,快速分析可能的故障原因并提供初步解决方案。
- 筛选出状态为
error的所有日志; - 点击单条数据,展开详情页;
- 点击右上角 Obsy AI 错误分析;
- 即可开始进行异常分析。
错误详情¶
若当前日志内带有 error_stack 或 error_message 字段信息,系统会为您提供与该条日志相关的错误详情。
如需查看更多日志错误信息,可前往 日志错误追踪。
属性字段¶
点击属性字段进行快速筛选查看,可查看与日志相关的主机、进程、链路、容器数据。
| 字段 | 说明 |
|---|---|
| 筛选字段值 | 添加该字段至日志查看器,查看与该字段相关的全部日志数据。 |
| 反向筛选字段值 | 添加该字段至日志查看器,查看除了该字段以外其他的相关日志数据。 |
| 添加到显示列 | 添加该字段到查看器列表进行查看。 |
| 复制 | 复制该字段至剪贴板。 |
| 查看相关容器 | 查看与该主机相关全部容器。 |
| 查看相关进程 | 查看与该主机相关全部进程。 |
| 查看相关链路 | 查看与该主机相关全部链路。 |
| 查看相关巡检 | 查看与该主机相关全部巡检数据。 |
日志内容¶
-
日志内容会根据
message类型自动切换 JSON 和文本两种查看模式。如果日志中不存在message字段,则不显示日志内容部分。日志内容支持展开和收起,默认为展开状态,收起后仅显示一行高度。 -
对于
source:bpf_net_l4_log的日志,自动提供 JSON 和报文两种查看模式。报文模式展示客户端、服务端、时间等信息,并支持切换绝对时间和相对时间显示,默认为绝对时间。切换后的配置将保存在本地浏览器中。
JSON 搜索¶
在 JSON 格式的日志中,针对 key 和 value 均可进行 JSON 搜索。点击后,查看器搜索栏会添加 @key:value 的格式进行搜索。
对于多层级的 JSON 数据,使用 . 承接来表示层级关系。例如,@key1.key2:value 表示搜索 key1 下的 key2 对应的值。
更多详情,可参考 JSON 搜索。
扩展字段¶
-
在搜索栏,可输入字段名称或值快速搜索定位;
-
勾选字段别名后,可在字段名后查看;
- hover 某一扩展字段,点击下拉图标,可选择针对该字段进行以下操作:
- 筛选字段值
- 反向筛选字段值
- 添加到显示列
- 进行维度分析:点击后跳转到分析模式 > 时序图。
- 复制
查看上下文日志¶
日志服务的上下文查询功能通过时间线索,帮助您追溯异常日志发生前后的相关记录,快速定位问题根源。
- 在日志详情页,可直接查看该条数据内容的上下文日志;
- 左侧下拉框可选择索引,筛选出对应数据;
- 跳转打开上下文日志新页面。
相关逻辑补充理解
按照返回数据,每次滚动加载 50 条数据。
返回的数据如何查询得到?
前提:日志是否存在 log_read_lines 字段?若存在,则遵循逻辑 a;若不存在,则遵循逻辑 b。
a. 获取当前日志的 log_read_lines 值,并带入筛选 log_read_lines >= {{log_read_lines.value-30}} and log_read_lines <= {{log_read_lines.value +30}}
DQL 示例:当前日志行数 = 1354170
则:
L::RE(`.*`):(`message`) { `index` = 'default' and `host` = "ip-172-31-204-89.cn-northwest-1" AND `source` = "kodo-log" AND `service` = "kodo-inner" AND `filename` = "0.log" and `log_read_lines` >= 1354140 and `log_read_lines` <= 1354200} sorder by log_read_lines
b. 获取当前日志时间,向前/后推得出查询的开始时间、结束时间
-
开始时间:以当前日志时间向前推 5 分钟;
-
结束时间:取当前日志向后推 50 条数据,取第 50 条的时间 (·),若
time= 当前日志时间,则以time+1 微妙作为结束时间,若time≠ 当前日志时间,则以time作为结束时间。
上下文日志详情页¶
点击 跳转至详情页。您可以通过以下操作对当前所有数据进行管理:
- 在搜索框中输入文本以搜索定位数据;
- 点击侧边的 按钮,可将系统默认的自动换行切换为内容溢出模式,此时每条日志均显示为一行,您可按需左右滑动查看。
关联分析¶
系统支持对日志数据进行关联分析。除了错误详情、扩展字段和上下文日志,您还可以一站式地了解日志对应的主机、容器、网络等。
内置页面¶
针对主机、容器、Pod 等内置页面,您可进行以下操作:
(以“主机”内置页面为例)
- 编辑当前页面显示字段,系统会根据字段自动匹配对应数据;
- 选择跳转至指标视图、主机详情页;
- 筛选时间范围。
注意
仅工作空间管理者可修改内置页面显示字段,建议配置通用字段。如果该页面被多个查看器共用,字段修改将实时同步生效。
例如:在此处配置 “index” 字段,日志中存在该字段即可正常展示,而链路查看器中若缺少此字段,则无法显示对应值。
内置视图¶
除此处系统默认展示的视图外,还可以绑定用户视图。
- 进入内置视图绑定页面;
- 查看默认关联字段。可选择保留或删除字段,还可添加新的
key:value字段; - 选择视图;
- 完成绑定后,在主机对象详情中可查看所绑定的内置视图。可通过点击跳转按钮 至对应的内置视图页面。
