Обработка логов
Ключ-АСТРОМ Log Monitoring может преобразовывать входящие данные логов для лучшего понимания, анализа или дальнейшей обработки на основе созданных вами правил.
Информация может быть записана в очень широком спектре форматов в зависимости от приложения или процесса, операционной системы или других факторов. Обработка логов предлагает централизованный и гибкий способ извлечения ценности из этих необработанных строк логов.
Например, вы можете извлекать числовые значения из строки лога с помощью обработки логов, преобразовывать их в метрики на платформе Ключ-АСТРОМ и включать их в дашборды и средства обнаружения проблем.
Обработка логов не влияет на потребление ИИ при приеме этих логов.
Правила обработки логов
Перейдите в Настройки > Мониторинг логов > Обработка, чтобы просмотреть действующие правила обработки логов, изменить порядок существующих правил и создать новые правила. Правила выполняются в том порядке, в котором они перечислены, сверху вниз. Этот порядок имеет решающее значение, поскольку предыдущее правило может повлиять на данные логов, которые последующее правило использует в своем определении.
Разверните Детали, чтобы изучить определение правила. Правило обработки логов состоит из следующего:
- Название правила
- Соответствие
- Определение процессора
Вы можете включить или отключить любое правило в столбце «Активно» .
Встроенные правила
По умолчанию обработка логов имеет множество включенных встроенных правил, отвечающих за очистку или нормализацию данных логов. Имя каждого встроенного правила начинается с [Built-in]
. Вы не можете изменять эти правила напрямую, но у вас есть возможность отключить их, скопировать их определения и создать новые правила с вашими изменениями.
Добавить правило
Чтобы создать правило обработки журнала
- Выберите Добавить правило обработки на странице Обработка логов.
- Укажите Название правила обработки логов.
- Укажите запрос логов в разделе Соответствие. Запрос поиска логов сужает доступные данные логов для выполнения этого конкретного правила. Это тот же поисковый запрос, который вы использовали в поисковом запросе средства просмотра логов ( Log viewer ). Соответствие на основе предыдущих правил не поддерживается. Соответствие работает с исходным набором данных до применения каких-либо правил обработки. Сопоставление записей, измененных предыдущими правилами, не поддерживается. Например, измененное поле в правиле 1 и использованное для сопоставления в правиле 2, будет содержать исходное значение для этого поля и не будет использовать измененное поле в правиле 1.
- Предоставьте определение процессора обработки. определение процессора обработки — это инструкция по обработке логов о том, как Ключ-АСТРОМ должен преобразовывать или изменять ваши данные логов, суженные запросом логов. определение процессора создается с использованием команд обработки логов, функций и сопоставления шаблонов, что позволяет добавлять, преобразовывать или удалять входящие записи логов. Это дает вам полный контроль над тем, как ваши данные логов представляются в Ключ-АСТРОМ Log Monitoring.
- Протестируйте правило обработки журнала. Вы можете протестировать определение правила, либо загрузив образец логов, либо вручную предоставив фрагмент образца логов в текстовом поле Образец лога.
1. Выберите образец лога- Если вы решите загрузить образец лога, данные, используемые для проверки правила, будут соответствовать результату запроса логов.
- Если вы решили предоставить фрагмент данных лога вручную, убедитесь, что он в формате JSON. Любые текстовые данные логов JSON должны быть вставлены в поле
content
.
2. Запустите тест.
Выберите «Проверить правило» и просмотрите результат в текстовом поле «Результат проверки» .
- Нажмите Сохранить изменения .