Grafana Loki 查询语言 LogQL 使用

最新推荐文章于 2025-02-09 14:26:38 发布
最新推荐文章于 2025-02-09 14:26:38 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: Grafana Loki 文章标签: 运维 grafana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hshloveyy/article/details/129459139
版权

受 PromQL 的启发,Loki 也有自己的查询语言,称为 LogQL,它就像一个分布式的 grep,可以聚合查看日志。和 PromQL 一样,LogQL 也是使用标签和运算符进行过滤的,主要有两种类型的查询功能:

  • 查询返回日志行内容
  • 通过过滤规则在日志流中计算相关的度量指标

日志查询

一个基本的日志查询由两部分组成。

  • log stream selector(日志流选择器)
  • log pipeline(日志管道)

由于 Loki 的设计,所有 LogQL 查询必须包含一个日志流选择器。一个 Log Stream 代表了具有相同元数据(Label 集)的日志条目。

日志流选择器决定了有多少日志将被搜索到,一个更细粒度的日志流选择器将搜索到流的数量减少到一个可管理的数量,通过精细的匹配日志流,可以大幅减少查询期间带来资源消耗。

而日志流选择器后面的日志管道是可选的,用于进一步处理和过滤日志流信息,它由一组表达式组成,每个表达式都以从左到右的顺序为每个日志行执行相关过滤,每个表达式都可以过滤、解析和改变日志行内容以及各自的标签。

下面的例子显示了一个完整的日志查询的操作:

{container="query-frontend",namespace="loki-dev"} |= "metrics.go" | logfmt | duration > 10s and throughput_mb < 500

该查询语句由以下几个部分组成:

  • 一个日志流选择器 {container="query-frontend",namespace="loki-dev"},用于过滤 loki-dev 命名空间下面的 query-frontend 容器的日志
  • 然后后面跟着一个日志管道 |= "metrics.go" | logfmt | duration > 10s and throughput_mb < 500,该管道表示将筛选出包含 metrics.go 这个词的日志,然后解析每一行日志提取更多的表达式并进行过滤
为了避免转义特色字符,你可以在引用字符串的时候使用单引号,而不是双引号,比如 `\w+1` 与 "\w+" 是相同的。

Log Stream Selector

日志流选择器决定了哪些日志流应该被包含在你的查询结果中,选择器由一个或多个键值对组成,其中每个键是一个日志标签,每个值是该标签的值。

日志流选择器是通过将键值对包裹在一对大括号中编写的,比如:

{app="mysql", name="mysql-backup"}

上面这个示例表示,所有标签为 app 且其值为 mysql 和标签为 name 且其值为 mysql-backup 的日志流将被包括在查询结果中。

其中标签名后面的 = 运算符是一个标签匹配运算符,LogQL 中一共支持以下几种标签匹配运算符:

  • =: 完全匹配
  • !=: 不相等
  • =~: 正则表达式匹配
  • !~: 正则表达式不匹配

例如:

  • {name=~"mysql.+"}
  • {name!~"mysql.+"}
  • {name!~"mysql-\\d+"}

适用于 Prometheus 标签选择器的规则同样适用于 Loki 日志流选择器。

Log Pipeline

日志管道可以附加到日志流选择器上,以进一步处理和过滤日志流。它通常由一个或多个表达式组成,每个表达式针对每个日志行依次执行。如果一个表达式过滤掉了日志行,则管道将在此处停止并开始处理下一行。一些表达式可以改变日志内容和各自的标签,然后可用于进一步过滤和处理后续表达式或指标查询。

一个日志管道可以由以下部分组成。

  • 日志行过滤表达式
  • 解析器表达式
  • 标签过滤表达式
  • 日志行格式化表达式
  • 标签格式化表达式
  • Unwrap 表达式

其中 unwrap 表达式是一个特殊的表达式,只能在度量查询中使用。

日志行过滤表达式

日志行过滤表达式用于对匹配日志流中的聚合日志进行分布式 grep。

编写入日志流选择器后,可以使用一个搜索表达式进一步过滤得到的日志数据集,搜索表达式可以是文本或正则表达式,比如:

  • {job="mysql"} |= "error"
  • {name="kafka"} |~ "tsdb-ops.*io:2003"
  • {name="cassandra"} |~ "error=\\w+"
  • {instance=~"kafka-[23]",name="kafka"} != "kafka.server:type=ReplicaManager"

上面示例中的 |=|~ 和 != 是过滤运算符,支持下面几种:

  • |=:日志行包含的字符串
  • !=:日志行不包含的字符串
  • |~:日志行匹配正则表达式
  • !~:日志行与正则表达式不匹配

过滤运算符可以是链式的,并将按顺序过滤表达式,产生的日志行必须满足每个过滤器。当使用 |~和 !~ 时,可以使用 Golang 的 RE2 语法的正则表达式,默认情况下,匹配是区分大小写的,可以用 (?i) 作为正则表达式的前缀,切换为不区分大小写。

虽然日志行过滤表达式可以放在管道的任何地方,但最好把它们放在开头,这样可以提高查询的性能,当某一行匹配时才做进一步的后续处理。例如,虽然结果是一样的,但下面的查询 {job="mysql"} |= "error" |json | line_format "{ {.err}}" 会比 {job="mysql"} | json | line_format "{ {.message}}" |= "error" 更快,日志行过滤表达式是继日志流选择器之后过滤日志的最快方式

解析器表达式

解析器表达式可以解析和提取日志内容中的标签,这些提取的标签可以用于标签过滤表达式进行过滤,或者用于指标聚合。

提取的标签键将由解析器进行自动格式化,以遵循 Prometheus 指标名称的约定(它们只能包含 ASCII 字母和数字,以及下划线和冒号,不能以数字开头)。

例如下面的日志经过管道 | json 将产生以下 Map 数据:

{ "a.b": { "c": "d" }, "e": "f" }

->

{a_b_c="d", e="f"}

在出现错误的情况下,例如,如果该行不是预期的格式,该日志行不会被过滤,而是会被添加一个新的 __error__ 标签。

需要注意的是如果一个提取的标签键名已经存在于原始日志流中,那么提取的标签键将以 _extracted 作为后缀,以区分两个标签,你可以使用一个标签格式化表达式来强行覆盖原始标签,但是如果一个提取的键出现了两次,那么只有最新的标签值会被保留。

目前支持 jsonlogfmtpatternregexp</

最低0.47元/天 解锁文章
serilog-sinks-grafana-loki:一个Serilog接收器将日志事件发送到Grafana Loki
04-08
Serilog.Sinks.Grafana.Loki 目录 这水槽和洛基是什么? Serilog Grafana Loki接收器项目是Serilog日志记录框架的接收器(基本上是编写器)。 结构化的日志事件被写入接收器,每个接收器负责将其写入其自己的后端,...
Grafana Loki 轻量级并轻松地对日志数据进行筛选、查询和分析
C_Linlin11的博客
03-26 3387
正则匹配的链接:https://grafana.com/docs/loki/latest/query/log_queries/netstat -tnlp(成功)netstat -tnlp(成功)
Grafana进阶教程:使用Loki、Tempo进行日志与追踪可视化
weixin_41859354的博客
09-06 2837
Loki 是一款为 Prometheus 设计的日志聚合系统。与传统的日志管理工具(如 Elasticsearch)不同,Loki 不会对日志内容进行索引,而是以分片和流的形式存储日志,并通过标签来进行查询。这种设计使 Loki 成为一种高效、可扩展且成本较低的日志解决方案。轻量级:Loki 仅索引元数据而不是完整的日志内容。与 Prometheus 紧密集成:可以通过相同的标签进行日志和指标的关联查询。易于部署:支持 Docker、Kubernetes 等多种部署方式。
Loki日志框架的使用
最新发布
gsdgdg00的博客
02-09 825
(就像 Prometheus 标签一样)。日志数据本身被压缩然后并存储在对象存储(例如 S3 或 GCS)的块中,甚至存储在本地文件系统上,轻量级的索引和高度压缩的块简化了操作,并显著降低了 Loki 的成本,Loki 更适合中小团队。由于 Loki 使用和 Prometheus 类似的标签概念,所以如果你熟悉 Prometheus 那么将很容易上手,也可以直接和 Grafana 集成,只需要添加 Loki 数据源就可以开始查询日志数据了。Loki 还提供了一个专门用于日志查询的LogQL
Grafana通过Loki读取本地日志文件
完颜振江
06-12 2620
组件安排。
Loki+Grafana查询语句
牧竹子
08-05 8893
这样一个完整的查询过程就完成了,只不过Grafana在我们添加完Loki服务地址后,会自动帮我们完成前两步的事情,随着我们在Label输入框输入查询表达式时,就相当于完成了query参数的构建,而日期范围通过日期选择器完成。这里的日志集合是满足{}语句的标签筛选后,对集合结果中的所有文本字符进行匹配筛选,就像chrome浏览器ctrl+F的功能,满足条件的才会列出来,不满足的则看不到。日志是由日期,服务系统名称,模块名称等等日志的标签元素组成,就像是表结构中的列名,用以区分每条日志的基本元素。...
grafana查看日志的方法
keyboard专栏
05-06 8183
单个job查询 {job="default/prometheus"} 常见的实例 {job="monitoring/prometheus"} {job="monitoring/kube-state-metrics"} {job="monitoring/promtail"} {job="traefik/prod-traefik"} {job="1442448583092736000/grafana"} 组合查询: {app="cassandra",namespace="prod"} 过滤搜索词的查询 {
Grafana服务监控与日志查询可视化
Lin_Miao_09的博客
12-24 1694
通过选择合适的日志采集工具和存储系统,并将其与 Grafana 集成,你可以实现高效的日志采集、存储和可视化。Grafana 提供了强大的日志查询和可视化功能,帮助你更好地管理和分析日志数据。
PLG轻量日志监控系统(四)LokiLogQL(一)Log queries
wzj_110的博客
12-11 1553
LogQLLog queries查询
基于loki+grafana的在线nginx日志分析系统
06-27
Loki不需要复杂的正则表达式或JSON路径来查询日志,而是使用标签来对日志进行索引和查询,这使得日志管理和分析变得更加直观。在我们的设置中,Loki将作为日志的接收端和存储中心。 Grafana是一款流行的可视化工具...
ansible-loki:Ansible角色来安装Grafana Loki和Promtail
05-11
Ansible-loki Ansible角色,用于安装Grafana Loki和Promtail。要求对于loki / promtail的标准(来自二进制)安装: 在主机上unzip 对于dockerized的promtail: Python: docker==4.3.1 docker-cli角色变量请参阅...
策略报告者:将Kubernetes PolicyReport规则验证结果发送给Grafana Loki
02-20
为了解决此问题,此工具将信息从PolicyReports发送到Loki,并提供Metrics端点以获取有关摘要和每个规则结果的度量。 使用Helm v3进行安装 克隆存储库并使用以下命令: git clone ...
loki相关镜像: grafana-image-renderer
10-10
Grafana使用Loki作为数据源时,用户可以通过Loki提供的查询能力来获取日志,并通过Grafana的图表和图形功能来可视化这些数据。Grafana支持多种类型的图表,比如折线图、柱状图、热图等,这些图表能够帮助用户...
grafana安装与监控docker容器日志
feng_xiaofeng的专栏
12-02 3303
grafana安装与监控docker容器日志
【踩坑记录】python-loki 日志查询
weixin_51134546的博客
03-04 560
通过一段python代码完成loki中存储的日志的查询。因为汉化的教程很少,我阅读英语又比较慢,所以摸索了很长一段事件。
探秘Loki:一款强大的日志聚合与查询工具
gitblog_00009的博客
03-24 1334
探秘Loki:一款强大的日志聚合与查询工具 loki ???? Visual Regression Testing for Storybook 项目地址: https://gitcode.com/gh_mirrors/loki/loki ...
loki使用超详细说明
热门推荐
李文良的博客
10-08 6万+
前言:小伙伴们是用什么看日志的呢?我是用的loki,今天我跟大家分享下loki使用,喜欢的话一键三连点收藏哦! loki使用超详细说明一、loki简介二、Loki 使用三、Loki语法说明四、Loki错误信息查看五、范围查询六、集合运算七、Loki Url 表达式编写八、Loki api使用 一、loki简介 LokiGrafana Labs 团队最新的开源项目,是一个水平可扩展,高可用性,多租户的日志聚合系统。它的设计非常经济高效且易于操作,因为它不会为日志内容编制索引,而是为每个日志流编制一组标签
Grafana 系列文章(六):Grafana Explore 中的日志
east4ming的博客
02-03 2571
👉️URL: https://grafana.com/docs/grafana/latest/explore/logs-integration/#labels-and-detected-fields 📝Description: Explore 中的日志 除了指标之外,Explore 还允许你在以下数据源中调查你的日志。 Elasticsearch InfluxDB Loki 在基础设施监控和事件响应期间,你可以深入挖掘指标和日志,找到原因。Explore 还允许你通过并排查看指标和日志来进行关联。这
03-Loki 日志监控
JavaEdge全是干货的技术号
06-14 1314
功能强大;轻量级,可以在配置更低的设备上部署;完全契合现代化部署方式;githubLoki是受Prometheus启发的水平可扩展、高可用、多租户日志聚合系统。它的设计非常具有成本效益且易于操作。它不索引日志的内容,而是索引每个日志流的一组标签。
Grafana Loki
01-14
### Grafana Loki 安装配置与使用教程 #### 下载和安装 为了运行 Grafana Loki,需先下载并安装 Loki 和 Promtail。可以从官方 GitHub 发布页面获取最新版本的二进制文件[^4]。 ```bash wget https://github.com/grafana/loki/releases/download/v2.8.0/loki-linux-amd64.zip unzip loki-linux-amd64.zip chmod +x loki-linux-amd64 mv loki-linux-amd64 /usr/local/bin/loki ``` 对于 Promtail: ```bash wget https://github.com/grafana/loki/releases/download/v2.8.0/promtail-linux-amd64.zip unzip promtail-linux-amd64.zip chmod +x promtail-linux-amd64 mv promtail-linux-amd64 /usr/local/bin/promtail ``` #### 配置文件准备 下载对应的配置文件,并根据实际需求调整参数设置。Promtail 的配置特别重要,因为这决定了如何将日志发送给 Loki[^2]。 ```yaml # promtail-config.yaml 示例 server: http_listen_port: 9080 clients: - url: http://localhost:3100/loki/api/v1/push positions: filename: /tmp/positions.yaml target_config: sync_period: 1m scrape_configs: - job_name: system static_configs: - targets: [] labels: job: varlogs __path__: /var/log/*.log ``` #### 启动服务 启动 Loki 实例之后再启动 Promtail 来确保日志能够被正确采集并传输至 Loki 中处理。 ```bash nohup ./loki -config.file=loki-config.yaml & nohup ./promtail -config.file=promtail-config.yaml & ``` #### 使用说明 Grafana Loki 是一个受 Prometheus 启发的日志聚合系统,设计上追求横向扩展能力、高可用性以及多租户支持。其核心理念在于仅对带有标签的日志流进行索引而非全文本内容,从而实现更高的性能表现和更低的成本开销[^3]。 通过这种方式,用户可以在不影响查询速度的前提下管理海量级别的日志数据;同时借助于强大的查询语言 LogQL 提供灵活高效的检索体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哗哗的賏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值