使用 ClickStack 进行搜索

ClickStack 允许您对事件（日志和跟踪）执行全文搜索。您只需输入与事件匹配的关键词即可开始搜索。例如，如果您的日志中包含 “Error”，您只需在搜索栏中输入 “Error” 即可将其查找出来。

同样的搜索语法也适用于在仪表板和图表中对事件进行过滤。

搜索功能

自然语言搜索语法

• 搜索不区分大小写
• 搜索默认按整词匹配（例如，Error 会匹配 Error here，但不会匹配 Errors here）。可以在单词前后加通配符来匹配部分单词（例如，*Error* 会匹配 AnyError 和 AnyErrors）
• 搜索词的出现顺序不限（例如，Hello World 会匹配包含 Hello World 和 World Hello 的日志）
• 可以使用 NOT 或 - 排除关键字（例如，Error NOT Exception 或 Error -Exception）
• 可以使用 AND 和 OR 组合多个关键字（例如，Error OR Exception）
• 使用双引号可以进行精确匹配（例如，"Error tests not found"）

列/属性搜索

• 可以使用 column:value 查找列以及 JSON/map 属性（例如 level:Error、service:app）
• 可以使用比较运算符（>, <, >=, <=）查找某个取值范围（例如 Duration:>1000）
• 可以使用 property:* 查找某个属性是否存在（例如 duration:*）

时间输入

• 时间输入支持自然语言（例如 1 hour ago、yesterday、last week）
• 指定单个时间点时，将从该时间点搜索到当前时间。
• 搜索时，时间范围会自动转换为解析后的时间范围，便于调试时间查询。
• 你也可以高亮直方图中的某个柱子，以放大到特定的时间范围。

SQL 搜索语法

你可以选择将搜索输入切换到 SQL 模式。此模式会接受任意有效的 SQL WHERE 子句作为搜索条件。这对于那些无法用 Lucene 语法 表达的复杂查询尤其有用。

SELECT 语句

要指定在搜索结果中显示的列，可以使用 SELECT 输入项。它是一个在搜索页面中用于选择列的 SQL SELECT 表达式。目前不支持别名（例如，不能使用 column as "alias"）。

已保存的搜索

你可以将搜索保存起来，以便稍后快速访问。保存后，你的搜索会显示在左侧边栏中，这样就能轻松再次使用常用的搜索条件，而无需重新构建它们。

要保存搜索，只需先配置好搜索条件，然后点击保存按钮。你可以为已保存的搜索指定一个便于描述和识别的名称，方便之后查找。

为已保存的搜索添加告警

可以为已保存的搜索配置告警，以便在满足特定条件时收到通知。你可以设置当与已保存搜索匹配的事件数量超过或低于指定阈值时触发告警。

有关告警的设置和配置的更多信息，请参阅告警文档。

标记

您可以为仪表板和已保存搜索添加标签，以便组织和管理它们。 标签提供了一种灵活的方式，可根据您的需要进行分类和筛选。

标签的工作方式

• 组织：标签会显示在左侧边栏中，仪表盘和已保存的搜索会根据分配的标签进行分组
• 多标签：你可以为单个项目添加一个或多个标签，以便更好地分类
• 自动创建：如果你分配的标签尚不存在，系统会自动创建该标签
• 便捷管理：你可以随时添加或移除标签，以调整你的组织结构

这样，当你的集合不断增长时，就能轻松找到相关项目，并保持工作空间井然有序。

你也可以选择多个标签，在不同类别之间筛选并查看项目：