Syntax for Log Querying

6 min

this guide explains the powerful and concise syntax for building precise queries the basics the core of a filter is a simple expression with three parts a field , an operator , and a value ?filter=\<field>\<operator>\<value> example to find all logs with an active status, you would use /logs?filter=status=active combining multiple filters to combine multiple conditions, simply add another filter parameter all filters are joined with a logical and , meaning all conditions must be true for an item to be included in the results operators reference the following table details all available operators, from simple equality checks to powerful string and existence matching true 120,100,100,100 unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type example 1 debugging production errors goal find all erroror criticallevel logs from the productionenvironment that are related to the auth serviceand have an error codefield present /logs?filter=env=production\&filter=service=auth service\&filter=level=error,critical\&filter=+error code example 2 monitoring api performance goal find slow api requests (> 1000ms) that resulted in a server error, excluding routine health checks from the monitoring system /logs?filter=latency ms>1000\&filter=http status>=500\&filter=source! monitoring bot example 3 auditing user activity goal find all login attempts for users whose email does not start with "test" and who were logging in from a country other than the "us" or "ca" /logs?filter=action=user login\&filter=user email!^test\&filter=geo country!=us,ca quick reference cheatsheet true 337,338 unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type unhandled content type