跳转到主要内容
ClickStack 支持对事件 (日志和链路追踪) 进行全文检索。你只需输入与事件匹配的关键词,即可开始搜索。例如,如果你的日志中包含 “Error”,只需在搜索栏中输入 “Error” 即可找到它。 同样的搜索语法也可用于在仪表盘和图表中过滤事件。

搜索功能

自然语言搜索语法

  • 搜索不区分大小写
  • 默认按整词匹配 (例如,Error 会匹配 Error here 但不会匹配 Errors here) 。你也可以在单词两侧加上通配符,以匹配部分 单词 (例如,*Error* 会匹配 AnyErrorAnyErrors)
  • 搜索词按任意顺序匹配 (例如,Hello World 会匹配包含 Hello WorldWorld Hello 的日志)
  • 你可以使用 NOT- 排除关键词 (例如,Error NOT ExceptionError -Exception)
  • 你可以使用 ANDOR 组合多个关键词 (例如, Error OR Exception)
  • 你可以使用双引号进行精确匹配 (例如,"Error tests not found")
  • 你可以使用 column:value 搜索列和 JSON/Map 属性 (例如 level:Errorservice:app)
  • 你可以使用比较运算符 (><>=<=) 按值范围搜索 (例如 Duration:>1000)
  • 你可以使用 property:* 搜索某个属性是否存在 (例如 duration:*)

时间输入

  • 时间输入支持自然语言输入 (例如 1 hour agoyesterdaylast week)
  • 指定单个时间点后,系统会从该时间点一直搜索到当前时间。
  • 为便于调试时间查询,搜索时会始终将时间范围转换为解析后的时间范围。
  • 你也可以选中直方图中的某个条形,以缩放到特定时间范围。

SQL 搜索语法

你也可以将搜索输入切换到 SQL 模式。这样就可以使用任何有效的 SQL WHERE 子句进行搜索。这对于无法用 Lucene 语法表达的复杂查询非常有用。

SELECT 语句

要指定搜索结果中显示的列,可以使用 SELECT 输入框。这是一个 SQL SELECT 表达式,用于指定搜索页面中要选择的列。 当前暂不支持别名 (例如,不能使用 column as "alias") 。

已保存的搜索

你可以保存搜索,方便日后快速访问。保存后,这些搜索会显示在 Saved Searches 页面上,无需重新设置,即可轻松再次运行常用的搜索查询。 要保存搜索,只需配置好搜索查询并点击保存按钮。你还可以为已保存的搜索指定一个便于识别的描述性名称。

为保存的搜索添加告警

你可以为保存的搜索配置告警,以便在满足特定条件时收到通知。你可以设置告警,使其在匹配保存搜索的事件数量超过或低于指定阈值时触发。 有关设置和配置告警的更多信息,请参阅告警文档

标签

您可以为仪表盘和已保存的搜索添加标签,以便更好地整理它们。 标签提供了一种灵活的方式,方便您按需进行分类和筛选。

标签如何工作

  • 组织方式:标签显示在左侧边栏中,仪表盘和已保存的搜索会按分配的标签分组
  • 多个标签:您可以为单个项目添加一个或多个标签,以便更好地分类
  • 自动创建:如果您分配了一个尚不存在的标签,系统会自动创建该标签
  • 易于管理:您可以随时添加或移除标签,以调整您的组织结构
这样一来,随着集合不断增长,您也能轻松找到相关项目,并保持工作区井然有序。 您还可以选择多个标签,按不同类别过滤并查看项目:
最后修改于 2026年6月10日