timeline - 日志易产品

fields

路径

/search/fields/

参数

参数含义合法值默认值 source_group日志分组all和用户定义的日志分组名all time_range搜索的时间范围

以逗号分隔的两个以毫秒计的unix时间戳
第二个值可用字符串now表示当前时间
第一个值可用负号加数字加d或m表示距当前时间几天或几分钟，如-1d,-1m

-3d,now query搜索语句日志易的搜索语句支持全文检索、逻辑运算、正则表达式等：* filter_field使用字段过滤使用字符串|-$!|分隔的field名和值。每个field的name和value之间用冒号分隔,value用双引号括起来；包括tag、 appname、 logtype也可通过此参数过滤：样例如logtype:"apache"|-$!|appache.status:"200"空 field指定字段的统计计数

指定要查询的字段名，如apache.status
*,查询搜索结果所含有的所有字段名，用于下一步具体的查询

*

</table>

参数样例1

filed=*，返回搜索结果含有的字段名：

http://yottaapi.test:7001/v0/search/fields/?ak=e35b49c3ee6bf2cfaf1312518d1799a8&sign=75dab040d595500ff9185a3ec56ec295&qt=1418701223130

返回结果说明1

result：表示请求是否成功，为Boolean。
event_total：事件总数，为Integer。
field_names：所有字段的名字，为String的Array。只返回数量最多的50个field的名字。

返回结果样例1

{
  field_names: [
  "apache.clientip",
  "apache.method",
  "apache.referer",
  "apache.status",
  ......
  "apache.version",
  "appname",
  "hostname",
  "logtype",
  "raw_message",
  "tag",
  "timestamp"
  ],
  event_total: 4966,
  result: true,
}

参数样例2

传入field参数，返回对应字段的统计计数：

http://yottaapi.test:7001/v0/search/fields/?field=apache.status&ak=e35b49c3ee6bf2cfaf1312518d1799a8&qt=1418701732365&sign=0635f2fa48a6d290c4586a166009220d

返回值说明2

result：表示请求是否成功，为Boolean。
total：含有此field的事件的总数，为Integer。
buckets：此field的不同值的数组，为Object的Array。只返回数量最多的50个值的统计计数。
- key：filed的值，可能为Integer或String等。
- doc_count：该值的event的数量，为Integer。

返回结果样例2

{
  "buckets": [
    {
      "key": 200,
      "doc_count": 4417
    },
    {
      "key": 304,
      "doc_count": 408
    },
    {
      "key": 499,
      "doc_count": 31
    },
    {
      "key": 301,
      "doc_count": 7
    },
    {
      "key": 302,
      "doc_count": 6
    },
    {
      "key": 500,
      "doc_count": 6
    }
  ],
  "total": 4875,
  "result": true
}

API