搜索¶

文本搜索¶

搜索一般由术语和运算符两部分组成。支持通配符查询：

• * 表示匹配 0 或多个任意字符；
• ? 表示匹配 1 个任意字符。

多个术语可以通过布尔运算符（AND/OR/NOT）组合成复杂查询。

术语可以是单词或者短语。比如：

• 单个单词：platform；
• 多个单词：platform test；（等同于 platform AND test）
• 短语："platform test"； (使用双引号可以将一组单词转换为短语)

JSON 搜索¶

默认对 message 的内容进行精确检索，且 message 必须是 JSON 格式，其他格式的日志内容不支持该检索方式。搜索格式为：@key:value，对于多层级 JSON，可使用 . 连接键名，例如 @key1.key2:value，如图所示：

场景示例：

message 信息如下：
{
    __namespace:tracing,
    cluster_name_k8s:k8s-demo,
    meta:{    
        service:ruoyi-mysql-k8s,
        name:mysql.query,
        resource:select dict_code, dict_sort, dict_label, dict_value, dict_type, css_class, list_class, is_default, status, create_by, create_time, remark 
                from sys_dict_data
 }
}

# 查询 cluster_name_k8s = k8s-demo
@cluster_name_k8s:k8s-demo     // 精准匹配
@cluster_name_k8s:k?s*        // 模糊匹配

# 查询 meta 下 service = ruoyi-mysql-k8s
@meta.service:ruoyi-mysql-k8s   // 精准匹配
@meta.service:ruoyi?mysql*   // 模糊匹配

特殊场景 .¶

字段名中的点 . 处理规范：解析器在词法分析阶段将 . 识别为层级操作符，\ 是唯一有效的转义字符。双引号因语法冲突被禁用。

核心规则¶

1. 在 Doris、ScopeDB 模式下的 JSON 查询中，. 表示嵌套字段层级（如 @error.detail.code:500 表示三层嵌套结构）。

2. 当字段名本身包含 . 时（如 trace.id），可以使用反斜杠 \ 转义：

   • 正确格式：@字段名\.含点\.部分:值，如 @trace\.id:12345、@app\.version:2.1

3. 禁止行为

   • 直接使用未转义点：@trace.id:12345（会被解析为嵌套字段）

   • 双引号包裹字段名：@"trace.id":12345（全系不支持）

使用示例对比¶

MD5 函数查询¶

如果数据经过 MD5 加密，且需要在查看器中搜索定位扫描后的数据，可使用 MD5 函数进行查询。

查询示例

color:md5|red

queryString(md5

您还可以通过 DQL 语句结合 MD5 函数进行查询：

your_md5_field = md5('secret')

DQL 查询¶

点击搜索栏右侧 DQL 按钮，即可进入 DQL 查询模式：

在不同查看器中，数据源依据类别显示，不可更改。例如，在日志查看器中，默认查询格式为 L(‘index_name’)::。

CIDR 函数查询¶

使用 CIDR 函数，可以精确匹配日志中的 IP 地址，查询字段内的时间内容。

查询示例

CIDR(@network.client.ip, 13.0.0.0/8)

搜索历史¶

系统会记录每次触发查询时的条件，点击后可直接复用查询。

更多阅读¶