检索页常见问题

用户使用检索页检索分析日志时，可能遇到报错信息，如“查询语句解析错误，请检查语法并输入正确语句”；也可能因为配置、语法原因无法查询正确日志信息。日志服务针对客户场景的问题及场景，总结以下常见问题及解决方案：

• 页面显示：当前检索结果为空

• 错误提示：查询语句运行失败，请检查索引配置及查询语句

• 错误提示：查询语句解析错误，请检查语法并输入正确语句

当前检索结果为空该如何排查？

• 常见原因1：日志未采集成功。

• 解决方案：*详细故障排查参考 检索不到日志问题。

• 常见原因2：检索某分词中含有部分内容的日志却未使用通配符。

• 场景：*用户检索 user-agent 字段中，包含 Window 的日志，形如 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)。输入检索语句 user-agent:Window，检索结果为空。原因为 Window 不是一个完整分词，无法单独检索。

• 解决方案：*使用通配符*检索user-agent:*Window*。

• 常见原因3：使用 SQL 语句分析日志数据，管道符前后忘记加空格。

• 场景：**用户输入 sql 语句形如`|Select * 。因用户在管道符前后没加空格，CLS 将整体语句当作关键词进行全文检索，检索日志内容中含有“*|Select *`” 的日志数据。

• 解决方案：*管道符前后添加空格。

查询语句运行失败该如何解决？

• 常见原因1：键值检索时，待检索字段值未配置键值索引。

• 场景：*用户检索某 IP 字段中 IP 为10.8.1.1的日志，输入检索语句 remote_addr:10.8.1.1报错。原因是使用键值检索，对应的字段需要配置键值索引。

• 解决方案：*前往检索页右上方键值索引配置改键值，详情请参见 配置索引。

• 常见原因2：字段值含有特殊字符如+ - && || ! ( ) { } [ ] ^ " ~ * ? : \。

• 场景：*用户根据客户端版本 user-agent 过滤日志，检索语句为：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)。

• 解决方案：*使用双引号将字段值作为完整短语词组检索，例如“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”。

查询语句解析错误该如何检查？

• 常见原因1：SQL 语句语法有误，语法保留字拼写有误，例如 select，order，语法保留字可查看 SQL语法。

• 常见原因2：select 字段时，字段之间没用逗号分割，如 select ip count(*) group by ip，ip 与count（*）之间需要用逗号分割，正确写法 select ip ,count(*) group by ip。