Мониторинг логов v1: различия между версиями

Материал из Документация Ключ-АСТРОМ
(Новая страница: «Dynatrace Log Monitoring обычно используется для устранения неполадок и мониторинга. С Dynatrace Log Monitor...»)
 
 
(не показаны 3 промежуточные версии этого же участника)
Строка 1: Строка 1:
Dynatrace Log Monitoring обычно используется для устранения неполадок и мониторинга.
'''''[[Применение Ключ-АСТРОМ]] / [[Применение Ключ-АСТРОМ#.D0.9C.D0.BE.D0.BD.D0.B8.D1.82.D0.BE.D1.80.D0.B8.D0.BD.D0.B3%20.D0.BB.D0.BE.D0.B3.D0.BE.D0.B2|Мониторинг логов]] / Мониторинг логов v1'''''


С Dynatrace Log Monitoring вы получаете прямой доступ к содержимому журналов всех критически важных процессов вашей системы. Вы можете легко искать определенные сообщения журнала, которые вас интересуют. Содержимое журнала можно фильтровать по ключевым словам или временным рамкам. Вы даже можете одновременно анализировать несколько файлов журналов, даже если файлы журналов хранятся на нескольких хостах.
== Просмотр журнала ==
Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .


Что наиболее важно, искусственный интеллект Dynatrace автоматически сопоставляет соответствующие сообщения журнала с любыми проблемами, которые он обнаруживает в вашей среде. Соответствующие сообщения журнала, связанные с проблемами, затем учитываются при анализе первопричин проблемы.
Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).


Чтобы включить мониторинг журнала Dynatrace, просто убедитесь, что вы используете последнюю версию Dynatrace. Все новое содержимое журналов важных процессов будет автоматически определяться и отслеживаться. Нет необходимости копировать или экспортировать содержимое журнала во внешнее хранилище для облегчения анализа.
Журналы по запросу


Краткий обзор
Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.


=== Доступ к журналам во время анализа проблемы ===
Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
Когда Dynatrace обнаруживает, что определенный процесс является основной причиной обнаруженной проблемы, на соответствующей странице « Проблема » отображается ссылка « Анализ журналов процессов ».


Используя средство просмотра журнала, вы можете напрямую анализировать содержимое журнала и находить проблемные сообщения журнала, которые помогут вам понять основную причину проблем, обнаруженных в отслеживаемых процессах.
Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.


=== Просмотр журналов процессов ===
== Шаблоны поиска в данных журнала и результаты синтаксического анализа ==
Средство просмотра журналов позволяет просматривать журналы процессов, вручную выбирая отдельные журналы для специального анализа. Вы используете Мониторинг журналов, чтобы перейти к файлам журналов через экраны узлов или процессов и отследить файл журнала, который относится к проблеме. Кроме того, вы можете выполнять поиск по выбранному содержимому журнала процессов, используя поиск по ключевым словам и фильтрацию. Поисковые запросы можно сохранить для повторного использования позже. Вы даже можете выбрать, чтобы результаты журнала возвращались вам в необработанном виде или в агрегированной форме.
Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.


=== Файлы журналов поиска ===
Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.
Расширяемый и простой в освоении язык поисковых запросов Dynatrace позволяет отфильтровывать все строки журнала, кроме интересующих вас.


=== Создавайте собственные метрики для своих журналов ===
== Просмотр журнала ==
Мониторинг журналов позволяет создать метрику на основе отслеживаемых журналов. С такой метрикой вы можете заставить Dynatrace постоянно сканировать отслеживаемые журналы и отображать диаграмму этой метрики на панели инструментов, чтобы любые изменения шаблона, которые происходят в вашей настраиваемой метрике, были четко видны.
Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .
 
Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).
 
Журналы по запросу
 
Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.
 
Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
 
Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
 
== Шаблоны поиска в данных журнала и результаты синтаксического анализа ==
Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.
 
Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.
 
=== Закладки ===
Используйте закладку, чтобы сохранять и повторно использовать поисковые запросы и фильтры. Любые изменения, внесенные вами во время анализа журнала (анализ журнала и фильтрация столбцов), будут сохранены в закладке. С помощью закладок вы сможете вернуться к тем же настройкам позже. Помните, что временные рамки, применяемые к поисковым запросам и фильтрам, отмеченным закладками, совпадают с теми же временными рамками, которые в настоящее время установлены на странице.
 
=== Делитесь ссылками ===
Анализ журнала общего доступа отличается от закладок. Ссылка общего доступа включает выбранный период времени, поэтому человек, получивший ссылку, увидит именно то, чем вы хотите поделиться, в выбранный вами период времени. Общая ссылка активна только в течение периода хранения журнала для этой среды. По истечении периода хранения журнала общая ссылка не работает, поскольку данные журнала недоступны.
 
== Поиск текстовых шаблонов в лог-файлах ==
Чтобы выполнить поиск текстового шаблона в файлах журналов, выберите журналы с точки зрения хоста или группы процессов, затем найдите текстовый шаблон с помощью языка поисковых запросов Ключ-АСТРОМ (или оставьте поле запроса пустым, чтобы получить все результаты).
 
Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов Ключ-АСТРОМ обеспечивает полную гибкость поиска по важному содержимому журналов процессов.
 
Покажи мне все
 
Чтобы вернуть все результаты, оставьте поле запроса пустым.
 
Синтаксис запроса текстового шаблона
 
Вы можете выбрать или выделить разделы или элементы отображаемого содержимого журнала, чтобы создать или изменить поисковый запрос по текстовому шаблону. Выберите Выполнить запрос , чтобы снова отобразить выбранные журналы.
{| class="wikitable"
!Категория
!Описание
!Пример
|-
|Однословные термины
|Поиск по одному слову помогает найти вхождения отдельных слов. Поиск нечувствителен к регистру.
 
Искомые слова в файлах журналов определяются как строки между любыми не буквенно-цифровыми символами или пробелами. Например, запрос строки <code>error</code>соответствует обоим <code>abc/error/def</code>и<code>error.html</code>
|
<code>error</code>
|-
|Фразы
|Фразы — это группы слов, заключенные в двойные кавычки. В запросах фразы обрабатываются так же, как однословные термины. Если поисковая фраза состоит только из буквенно-цифровых символов <code>[a-zA-Z0-9]</code>, то запрос фактически представляет собой запрос термина из одного слова, поэтому двойные кавычки <code>" "</code>можно опустить.
 
Вы НЕ МОЖЕТЕ включать какие-либо логические операторы, подстановочные знаки или группировки (см. ниже) внутри фраз в кавычках. Любой символ, заключенный в кавычки, ищется буквально. Например, <code>"what?"</code>возвращает совпадение для , <code>what?</code>но не для <code>whats</code>.
|
<code>"memory fault"</code>
 
<code>"cat and dog"</code>
|-
|Логические операторы
|Операторы могут быть написаны как в верхнем, так и в нижнем регистре: <code>AND</code>, <code>&&</code>Запись в журнале совпадает, если она содержит обе окружающие строки. <code>OR</code>, <code><nowiki>||</nowiki></code>Запись журнала соответствует, если она содержит хотя бы одну из окружающих строк. <code>NOT</code>Запись журнала соответствует, если она НЕ содержит строки после <code>NOT</code>. Логический оператор <code>AND</code>автоматически вставляется между однословными терминами, не заключенными в круглые скобки. Например, <code>test failed</code>равно <code>test AND failed</code>.
 
Приоритет : <code>NOT</code>, <code>AND</code>,<code>OR</code>
|
<code>test AND failed</code>
 
<code>error OR failure</code>
 
<code>NOT passed</code>
|-
|Группировка
|Скобки <code>( )</code>можно использовать для группировки предложений в подзапросы.
|
<code>(black OR red) AND label</code>
|-
|Подстановочные знаки
|Подстановочные знаки можно использовать для представления переменных или неизвестных буквенно-цифровых символов в условиях поиска. Звездочку <code>*</code>можно использовать для представления любой строки, состоящей из буквенно-цифровых символов. Знак вопроса <code>?</code>может использоваться для представления любого отдельного буквенно-цифрового символа.
 
Примечание . Односимвольные запросы с подстановочными знаками <code>*</code>или <code>?</code>не допускаются.
|
<code>Start*</code>
 
<code>*down</code>
 
<code>ex*ed</code>
 
<code>HTTP50?</code>
 
<code>Imp???ible</code>
|-
|Специальные символы
|Специальные символы должны быть экранированы <code>\</code>(обратная косая черта), а весь запрос должен быть заключен в <code>""</code>(двойные кавычки). Например, чтобы найти следующие записи журнала: <code>status\":502,\"statusText</code>, в вашем запросе вы должны экранировать <code>\</code>и <code>"</code>двойные кавычки. Кроме того, вы должны заключить все в двойные кавычки.
|
<code>"status\\\":502,\\\"statusText"</code>
|}
 
==== Примеры запросов ====
<code>Error AND Module1?2</code>
 
<code>"Connection refused" OR Timeout</code>
 
<code>Procedure AND (started OR stopped)</code>
 
<code>Exception AND NOT repeat*</code>
 
== Расширенные опции ==
Выберите Дополнительные параметры, чтобы создать столбцы на основе значений, извлеченных из данных журнала. Новые столбцы применяются к результатам поиска текстового шаблона в файлах журналов. Извлеченное значение будет первым сопоставленным для каждой записи журнала.
 
=== Извлечь поля ===
Чтобы создать столбец, определите раздел данных журнала, который следует извлечь как столбец. Укажите строку, непосредственно предшествующую ( <code>val_pref</code>) и непосредственно следующую за ( <code>val_suff</code>) значением, которое вы хотите использовать в столбце. Если совпадение найдено, все, что находится между <code>val_pref</code>и <code>val_suff</code>, будет извлечено как значение в столбце, определенном в объявлении столбца.
 
* Если вы используете какие-либо из следующих специальных символов в префиксе или суффиксе, вам необходимо экранировать их с помощью обратной косой черты ( <code>\</code>): <code>"</code>- двойная кавычка <code>%</code>- процент <code>,</code>- запятая <code>\</code>- обратная косая черта
* Тип извлеченного значения должен быть одним из поддерживаемых типов столбцов: INTEGER, NUMBER, STRING или BOOLEAN.
* При сопоставлении префиксов ( <code>val_pref</code>) и суффиксов ( <code>val_suff</code>) учитывается регистр.
* Если значение между <code>val_pref</code>и <code>val_suff</code>не соответствует типу, определенному в типе столбца, для определенного столбца не будет возвращено никакого значения.
* Учитывается только первое вхождение префикса. Если соответствующий суффикс отсутствует, ни одно значение не будет соответствовать, даже если совпадающая комбинация префикса и суффикса встречается позже в записи журнала.
* Пустой суффикс означает соответствие от префикса до конца записи журнала.
* Пробелы не обрезаются. Префикс и суффикс должны точно совпадать. Дополнительные пробелы не приводят к совпадению.
 
В объявлении столбца указывается тип столбца ( <code>col_type</code>) и имя столбца ( <code>col_name</code>), разделенные <code>:</code>(символом двоеточия).
 
Используйте следующий синтаксис для определения столбца:<code>"val_pref%{col_type:col_name}val_suff"</code>
 
Литеральное объявление столбца
 
Поскольку объявление столбца является буквальным, обязательно заключайте его в кавычки.
 
Тип столбца определяет, как значение сопоставляется с данными журнала, и сильно влияет на то, что извлекается как значение. Ниже приведены допустимые типы столбцов, которые вы можете использовать в объявлении столбца:
 
INTEGER
 
Потенциально извлекаемое значение:
 
* Может содержать символы <code>0</code>- <code>9</code>, и необязательно в начале <code>+</code>или <code>-</code>.
* Не может содержать пробелы или символы подчеркивания <code>_</code>.
* Максимальная длина токена составляет 20 символов.
* Пустой токен не подходит (не относится к столбцу).
* Представленное значение находится в диапазоне длинного типа Java.
 
Пользовательские столбцы только для сохраненных журналов
 
Пользовательские столбцы можно применять только к централизованно хранимым журналам.
 
Вы можете добавить, скрыть или удалить пользовательский столбец в отображении журнала. Каждое имя столбца должно быть уникальным. Не используйте имя любого автоматически обнаруженного столбца и не повторяйте имя пользовательского столбца, которое вы уже использовали.
 
Пример данных, которые соответствуют типу столбца INTEGER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:
<code>"1234"
"+1234"
"-1234"</code>
Пример данных, которые не соответствуют типу столбца INTEGER.
 
Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца INTEGER :
<code>""
"123L"
"1_234"
"1 234"
"0x123"
"1234567890123456789012"</code>
ЧИСЛО
 
Потенциально извлекаемое значение:
 
* Может содержать символы <code>+</code>, <code>-</code>, <code>.</code>, <code>e</code>, <code>E</code>и любую цифру между <code>0 - 9</code>.
* Должен представлять десятичное число в обычном или экспоненциальном представлении <code>123E456</code>.
 
Пример данных, которые соответствуют типу столбца NUMBER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:
<code>"123"
"123."
".123"
"123.4"
"123.4e12"
"123.4E56"
"+123.4e+12"
"-123.4e-12"</code>
Пример данных, которые не соответствуют типу столбца NUMBER.
 
Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца NUMBER :
<code>""
"."
"123f"
"123,4"
"123e"
"123 e4"
"123e4.5"
"123.4e99"
"0x12.2P2"</code>
Объявления нескольких столбцов
 
Вы можете определить несколько столбцов одновременно, разделив объявление каждого столбца <code>,</code>(запятой).
 
Например:<code>"prefix1%{INTEGER:myColumn1}suffix1","prefix2%{INTEGER:myColumn2}suffix2"</code>
 
STRING
 
Все символы, найденные между <code>val_suff</code>и <code>val_suff</code>, будут обрабатываться и извлекаться как строковое значение в определенном столбце.
 
BOOLEAN
 
Все символы между <code>val_suff</code>и <code>val_suff</code>будут обрабатываться и сопоставляться как логическое значение в записи журнала ( <code>true</code>или <code>false</code>).
 
=== Примеры извлечения полей ===
В следующем примере показано поведение механизма извлечения, когда в определении столбца используются определенные значения. Выходной столбец представляет значение записи журнала во вновь определенном <code>myColumn</code>столбце.
{| class="wikitable"
!Запись в журнале
!Префикс
!Суффикс
!Тип столбца
!Определение столбца
!Выход
|-
|pref123suff
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<code>123L</code>
|-
|pref123suff
|<code>pref</code>
|<code>suff</code>
|<code>NUMBER</code>
|<code>"pref%{NUMBER:myColumn}suff"</code>
|<code>123.0f</code>
|-
|pref123suff pref456suff
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<code>123L</code>
|-
|некоторый текст, занимающий
 
несколько строк текста
 
pref123suff
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<code>123L</code>
|-
|
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<nowiki>-</nowiki>
|-
|преф123456""
|<code>pref</code>
|<code>""</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}\"\""</code>1
|<code>123456L</code>
|-
|pref123456
|<code>pref</code>
|<code>456</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}456"</code>
|<code>123L</code>
|-
|преф123суфф""
|<code>pref</code>
|<code>""</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}\"\""</code>1
|<nowiki>-</nowiki>
|-
|Pref123suff
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<nowiki>-</nowiki>
|-
|преф 123 суфф
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<nowiki>-</nowiki>
|-
|pref
 
pref123suff
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<nowiki>-</nowiki>
|-
|abc123def
|<code>pref</code>
|<code>suff</code>
|<code>INTEGER</code>
|<code>"pref%{INTEGER:myColumn}suff"</code>
|<nowiki>-</nowiki>
|-
|pref-abc-suff
|<code>pref</code>
|<code>suff</code>
|<code>STRING</code>
|<code>"pref%{STRING:myColumn}suff"</code>
|<code>-abc-</code>
|-
|преф: правда,
|<code>pref:</code>
|<code>,</code>
|<code>BOOLEAN</code>
|<code>"pref:%{BOOLEAN:myColumn}\,"</code>1
|<code>true</code>
|}
1
 
Если вы используете какие-либо специальные символы ( <code>"</code>, <code>%</code>, <code>,</code>, <code>\</code>) в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты ( <code>\</code>).
 
=== Фильтр значений столбца ===
Фильтровать только для выполнения запроса
 
Этот фильтр можно применять только к результатам выполнения запроса . Это не относится к Create metric .
 
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к тем столбцам, для которых нет ограничений ( <code>_Source</code>, <code>_Timestamp</code>, <code>_Content</code>). Примените фильтр ко всем столбцам, проанализированным вручную и автоматически (включая столбцы с извлеченными значениями в дополнительных параметрах ). Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.
 
Фильтровать только сохраненные журналы
 
Этот фильтр можно применять только к централизованно хранимым журналам.
 
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены ( <code>_Source</code>, <code>_Timestamp</code>, <code>_Content</code>). Примените фильтр ко всем столбцам с ручным и автоматическим анализом. Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.
 
Каждый столбец содержит значение определенного типа: строка , число , целое число или логическое значение true/false . В зависимости от типа значения синтаксис вашего фильтра может различаться. Например, если столбец представляет собой числовой тип, а вы назначаете другой тип значения (строка, десятичное число или истина/ложь) в своем фильтре, вы сгенерируете ошибку синтаксического анализа.
 
Имена столбцов, содержащие специальные символы (включая пробелы), должны быть заключены в обратные кавычки.
 
Например:
 
<code>`integer Column # 2` = 20</code>
 
Отфильтрованные значения, содержащие кавычки, должны быть заключены в двойные кавычки.
 
Например, значение <code>path "test" error</code>должно быть введено в фильтр как:
 
<code>expath = "path ""test"" error"</code>
 
* Значения столбца, в которых сумма имени столбца и длины значения превышает 8191 символ, сокращаются многоточием.
 
Закладки
 
Недопустимый запрос фильтра столбца не будет применен к уже сохраненным или общедоступным закладкам.
 
Синтаксис фильтрации
{| class="wikitable"
!Категория
!Описание
!Пример
|-
|логический
|Логическое значение. Подстановочные знаки не принимаются для логических значений ( <code>true</code>или <code>false</code>).
|
<code>columnName = false</code>
 
<code>columnName = true</code>
|-
|Число
|числовое значение; может быть целым или десятичным. Поддерживается только <code>.</code>(точка) с плавающей запятой, а числа должны быть представлены без пробелов или других разделителей.
 
Диапазон номеров для доступных типов:
 
* целое число [-9 223 372 036 854 775 808 до 9 223 372 036 854 775 807]
* десятичный [±3,40282347E+38F] (6-7 значащих десятичных цифр)
 
Подстановочные знаки не принимаются для числового типа.
|
<code>columnName = 5</code>
 
<code>columnName = 5.005</code>
|-
|Фраза
|Группа слов, заключенная в двойные кавычки. Обрабатывается в поиске как одно слово. В скобках допускаются подстановочные знаки.
|
<code>columnName = "memory fault"</code>
 
<code>columnName = "cat and dog"</code>
|-
|Подстановочный знак
|Заменяет часть одного термина слова. Возможные специальные символы:
 
* <code>?</code>- представляет один символ
* <code>*</code>– представляет 0 (ноль) или более символов
 
Подстановочные знаки не принимаются для чисел и логических операторов.
|
<code>columnName = "INF*"</code>
 
<code>columnName = "WA?NING"</code>
 
<code>columnName = "?INF*"</code>
 
<code>columnName = "* and *"</code>
|-
|Оператор
|И - окружающие термины должны существовать
 
ИЛИ - должен существовать один из окружающих терминов
 
NOT – последующий термин или фраза не должны существовать.
|
<code>columnName-A = "test" AND columnName-B < 200</code>
 
<code>columnName-A = true OR columnName-B > 50</code>
 
<code>NOT columnName-B = 200</code>
|-
|Сравнение
|> (больше чем)
 
< (меньше чем)
 
>= (больше или равно)
 
<= (меньше или равно)
 
<nowiki>!= (не равно)</nowiki>
 
= (равно)
 
МЕЖДУ (диапазон для проверки)
 
В этом выражении должен присутствовать оператор AND .
|
<code>integerColumn > 5</code>
 
<code>integerColumn < 5</code>
 
<code>integerColumn >= 5</code>
 
<code>integerColumn <= 5</code>
 
<code>integerColumn != 5</code>
 
<code>integerColumn = 5</code>
 
<code>integerColumn BETWEEN 9210084 AND 11420982</code>
|-
|Группа
|Скобки ( ) группируют предложения для формирования подзапросов
|
<code>(columnName = "black" OR columnName = "red")
AND columnName = "label"</code>
|}

Текущая версия на 14:13, 6 сентября 2024

Применение Ключ-АСТРОМ / Мониторинг логов / Мониторинг логов v1

Просмотр журнала

Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .

Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).

Журналы по запросу

Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.

Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.

Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.

Шаблоны поиска в данных журнала и результаты синтаксического анализа

Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.

Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.

Просмотр журнала

Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .

Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).

Журналы по запросу

Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.

Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.

Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.

Шаблоны поиска в данных журнала и результаты синтаксического анализа

Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.

Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.

Закладки

Используйте закладку, чтобы сохранять и повторно использовать поисковые запросы и фильтры. Любые изменения, внесенные вами во время анализа журнала (анализ журнала и фильтрация столбцов), будут сохранены в закладке. С помощью закладок вы сможете вернуться к тем же настройкам позже. Помните, что временные рамки, применяемые к поисковым запросам и фильтрам, отмеченным закладками, совпадают с теми же временными рамками, которые в настоящее время установлены на странице.

Делитесь ссылками

Анализ журнала общего доступа отличается от закладок. Ссылка общего доступа включает выбранный период времени, поэтому человек, получивший ссылку, увидит именно то, чем вы хотите поделиться, в выбранный вами период времени. Общая ссылка активна только в течение периода хранения журнала для этой среды. По истечении периода хранения журнала общая ссылка не работает, поскольку данные журнала недоступны.

Поиск текстовых шаблонов в лог-файлах

Чтобы выполнить поиск текстового шаблона в файлах журналов, выберите журналы с точки зрения хоста или группы процессов, затем найдите текстовый шаблон с помощью языка поисковых запросов Ключ-АСТРОМ (или оставьте поле запроса пустым, чтобы получить все результаты).

Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов Ключ-АСТРОМ обеспечивает полную гибкость поиска по важному содержимому журналов процессов.

Покажи мне все

Чтобы вернуть все результаты, оставьте поле запроса пустым.

Синтаксис запроса текстового шаблона

Вы можете выбрать или выделить разделы или элементы отображаемого содержимого журнала, чтобы создать или изменить поисковый запрос по текстовому шаблону. Выберите Выполнить запрос , чтобы снова отобразить выбранные журналы.

Категория Описание Пример
Однословные термины Поиск по одному слову помогает найти вхождения отдельных слов. Поиск нечувствителен к регистру.

Искомые слова в файлах журналов определяются как строки между любыми не буквенно-цифровыми символами или пробелами. Например, запрос строки errorсоответствует обоим abc/error/defиerror.html

error
Фразы Фразы — это группы слов, заключенные в двойные кавычки. В запросах фразы обрабатываются так же, как однословные термины. Если поисковая фраза состоит только из буквенно-цифровых символов [a-zA-Z0-9], то запрос фактически представляет собой запрос термина из одного слова, поэтому двойные кавычки " "можно опустить.

Вы НЕ МОЖЕТЕ включать какие-либо логические операторы, подстановочные знаки или группировки (см. ниже) внутри фраз в кавычках. Любой символ, заключенный в кавычки, ищется буквально. Например, "what?"возвращает совпадение для , what?но не для whats.

"memory fault"
"cat and dog"
Логические операторы Операторы могут быть написаны как в верхнем, так и в нижнем регистре: AND, &&Запись в журнале совпадает, если она содержит обе окружающие строки. OR, ||Запись журнала соответствует, если она содержит хотя бы одну из окружающих строк. NOTЗапись журнала соответствует, если она НЕ содержит строки после NOT. Логический оператор ANDавтоматически вставляется между однословными терминами, не заключенными в круглые скобки. Например, test failedравно test AND failed.

Приоритет : NOT, AND,OR

test AND failed
error OR failure
NOT passed
Группировка Скобки ( )можно использовать для группировки предложений в подзапросы.
(black OR red) AND label
Подстановочные знаки Подстановочные знаки можно использовать для представления переменных или неизвестных буквенно-цифровых символов в условиях поиска. Звездочку *можно использовать для представления любой строки, состоящей из буквенно-цифровых символов. Знак вопроса ?может использоваться для представления любого отдельного буквенно-цифрового символа.

Примечание . Односимвольные запросы с подстановочными знаками *или ?не допускаются.

Start*
*down
ex*ed
HTTP50?
Imp???ible
Специальные символы Специальные символы должны быть экранированы \(обратная косая черта), а весь запрос должен быть заключен в ""(двойные кавычки). Например, чтобы найти следующие записи журнала: status\":502,\"statusText, в вашем запросе вы должны экранировать \и "двойные кавычки. Кроме того, вы должны заключить все в двойные кавычки.
"status\\\":502,\\\"statusText"

Примеры запросов

Error AND Module1?2
"Connection refused" OR Timeout
Procedure AND (started OR stopped)
Exception AND NOT repeat*

Расширенные опции

Выберите Дополнительные параметры, чтобы создать столбцы на основе значений, извлеченных из данных журнала. Новые столбцы применяются к результатам поиска текстового шаблона в файлах журналов. Извлеченное значение будет первым сопоставленным для каждой записи журнала.

Извлечь поля

Чтобы создать столбец, определите раздел данных журнала, который следует извлечь как столбец. Укажите строку, непосредственно предшествующую ( val_pref) и непосредственно следующую за ( val_suff) значением, которое вы хотите использовать в столбце. Если совпадение найдено, все, что находится между val_prefи val_suff, будет извлечено как значение в столбце, определенном в объявлении столбца.

  • Если вы используете какие-либо из следующих специальных символов в префиксе или суффиксе, вам необходимо экранировать их с помощью обратной косой черты ( \): "- двойная кавычка %- процент ,- запятая \- обратная косая черта
  • Тип извлеченного значения должен быть одним из поддерживаемых типов столбцов: INTEGER, NUMBER, STRING или BOOLEAN.
  • При сопоставлении префиксов ( val_pref) и суффиксов ( val_suff) учитывается регистр.
  • Если значение между val_prefи val_suffне соответствует типу, определенному в типе столбца, для определенного столбца не будет возвращено никакого значения.
  • Учитывается только первое вхождение префикса. Если соответствующий суффикс отсутствует, ни одно значение не будет соответствовать, даже если совпадающая комбинация префикса и суффикса встречается позже в записи журнала.
  • Пустой суффикс означает соответствие от префикса до конца записи журнала.
  • Пробелы не обрезаются. Префикс и суффикс должны точно совпадать. Дополнительные пробелы не приводят к совпадению.

В объявлении столбца указывается тип столбца ( col_type) и имя столбца ( col_name), разделенные :(символом двоеточия).

Используйте следующий синтаксис для определения столбца:"val_pref%{col_type:col_name}val_suff"

Литеральное объявление столбца

Поскольку объявление столбца является буквальным, обязательно заключайте его в кавычки.

Тип столбца определяет, как значение сопоставляется с данными журнала, и сильно влияет на то, что извлекается как значение. Ниже приведены допустимые типы столбцов, которые вы можете использовать в объявлении столбца:

INTEGER

Потенциально извлекаемое значение:

  • Может содержать символы 0- 9, и необязательно в начале +или -.
  • Не может содержать пробелы или символы подчеркивания _.
  • Максимальная длина токена составляет 20 символов.
  • Пустой токен не подходит (не относится к столбцу).
  • Представленное значение находится в диапазоне длинного типа Java.

Пользовательские столбцы только для сохраненных журналов

Пользовательские столбцы можно применять только к централизованно хранимым журналам.

Вы можете добавить, скрыть или удалить пользовательский столбец в отображении журнала. Каждое имя столбца должно быть уникальным. Не используйте имя любого автоматически обнаруженного столбца и не повторяйте имя пользовательского столбца, которое вы уже использовали.

Пример данных, которые соответствуют типу столбца INTEGER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:

"1234"
"+1234"
"-1234"

Пример данных, которые не соответствуют типу столбца INTEGER.

Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца INTEGER :

""
"123L"
"1_234"
"1 234"
"0x123"
"1234567890123456789012"

ЧИСЛО

Потенциально извлекаемое значение:

  • Может содержать символы +, -, ., e, Eи любую цифру между 0 - 9.
  • Должен представлять десятичное число в обычном или экспоненциальном представлении 123E456.

Пример данных, которые соответствуют типу столбца NUMBER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:

"123"
"123."
".123"
"123.4"
"123.4e12"
"123.4E56"
"+123.4e+12"
"-123.4e-12"

Пример данных, которые не соответствуют типу столбца NUMBER.

Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца NUMBER :

""
"."
"123f"
"123,4"
"123e"
"123 e4"
"123e4.5"
"123.4e99"
"0x12.2P2"

Объявления нескольких столбцов

Вы можете определить несколько столбцов одновременно, разделив объявление каждого столбца ,(запятой).

Например:"prefix1%{INTEGER:myColumn1}suffix1","prefix2%{INTEGER:myColumn2}suffix2"

STRING

Все символы, найденные между val_suffи val_suff, будут обрабатываться и извлекаться как строковое значение в определенном столбце.

BOOLEAN

Все символы между val_suffи val_suffбудут обрабатываться и сопоставляться как логическое значение в записи журнала ( trueили false).

Примеры извлечения полей

В следующем примере показано поведение механизма извлечения, когда в определении столбца используются определенные значения. Выходной столбец представляет значение записи журнала во вновь определенном myColumnстолбце.

Запись в журнале Префикс Суффикс Тип столбца Определение столбца Выход
pref123suff pref suff INTEGER "pref%{INTEGER:myColumn}suff" 123L
pref123suff pref suff NUMBER "pref%{NUMBER:myColumn}suff" 123.0f
pref123suff pref456suff pref suff INTEGER "pref%{INTEGER:myColumn}suff" 123L
некоторый текст, занимающий

несколько строк текста

pref123suff

pref suff INTEGER "pref%{INTEGER:myColumn}suff" 123L
pref suff INTEGER "pref%{INTEGER:myColumn}suff" -
преф123456"" pref "" INTEGER "pref%{INTEGER:myColumn}\"\""1 123456L
pref123456 pref 456 INTEGER "pref%{INTEGER:myColumn}456" 123L
преф123суфф"" pref "" INTEGER "pref%{INTEGER:myColumn}\"\""1 -
Pref123suff pref suff INTEGER "pref%{INTEGER:myColumn}suff" -
преф 123 суфф pref suff INTEGER "pref%{INTEGER:myColumn}suff" -
pref

pref123suff

pref suff INTEGER "pref%{INTEGER:myColumn}suff" -
abc123def pref suff INTEGER "pref%{INTEGER:myColumn}suff" -
pref-abc-suff pref suff STRING "pref%{STRING:myColumn}suff" -abc-
преф: правда, pref: , BOOLEAN "pref:%{BOOLEAN:myColumn}\,"1 true

1

Если вы используете какие-либо специальные символы ( ", %, ,, \) в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты ( \).

Фильтр значений столбца

Фильтровать только для выполнения запроса

Этот фильтр можно применять только к результатам выполнения запроса . Это не относится к Create metric .

Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к тем столбцам, для которых нет ограничений ( _Source, _Timestamp, _Content). Примените фильтр ко всем столбцам, проанализированным вручную и автоматически (включая столбцы с извлеченными значениями в дополнительных параметрах ). Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.

Фильтровать только сохраненные журналы

Этот фильтр можно применять только к централизованно хранимым журналам.

Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены ( _Source, _Timestamp, _Content). Примените фильтр ко всем столбцам с ручным и автоматическим анализом. Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.

Каждый столбец содержит значение определенного типа: строка , число , целое число или логическое значение true/false . В зависимости от типа значения синтаксис вашего фильтра может различаться. Например, если столбец представляет собой числовой тип, а вы назначаете другой тип значения (строка, десятичное число или истина/ложь) в своем фильтре, вы сгенерируете ошибку синтаксического анализа.

Имена столбцов, содержащие специальные символы (включая пробелы), должны быть заключены в обратные кавычки.

Например:

`integer Column # 2` = 20

Отфильтрованные значения, содержащие кавычки, должны быть заключены в двойные кавычки.

Например, значение path "test" errorдолжно быть введено в фильтр как:

expath = "path ""test"" error"

  • Значения столбца, в которых сумма имени столбца и длины значения превышает 8191 символ, сокращаются многоточием.

Закладки

Недопустимый запрос фильтра столбца не будет применен к уже сохраненным или общедоступным закладкам.

Синтаксис фильтрации

Категория Описание Пример
логический Логическое значение. Подстановочные знаки не принимаются для логических значений ( trueили false).
columnName = false
columnName = true
Число числовое значение; может быть целым или десятичным. Поддерживается только .(точка) с плавающей запятой, а числа должны быть представлены без пробелов или других разделителей.

Диапазон номеров для доступных типов:

  • целое число [-9 223 372 036 854 775 808 до 9 223 372 036 854 775 807]
  • десятичный [±3,40282347E+38F] (6-7 значащих десятичных цифр)

Подстановочные знаки не принимаются для числового типа.

columnName = 5
columnName = 5.005
Фраза Группа слов, заключенная в двойные кавычки. Обрабатывается в поиске как одно слово. В скобках допускаются подстановочные знаки.
columnName = "memory fault"
columnName = "cat and dog"
Подстановочный знак Заменяет часть одного термина слова. Возможные специальные символы:
  • ?- представляет один символ
  • *– представляет 0 (ноль) или более символов

Подстановочные знаки не принимаются для чисел и логических операторов.

columnName = "INF*"
columnName = "WA?NING"
columnName = "?INF*"
columnName = "* and *"
Оператор И - окружающие термины должны существовать

ИЛИ - должен существовать один из окружающих терминов

NOT – последующий термин или фраза не должны существовать.

columnName-A = "test" AND columnName-B < 200
columnName-A = true OR columnName-B > 50
NOT columnName-B = 200
Сравнение > (больше чем)

< (меньше чем)

>= (больше или равно)

<= (меньше или равно)

!= (не равно)

= (равно)

МЕЖДУ (диапазон для проверки)

В этом выражении должен присутствовать оператор AND .

integerColumn > 5
integerColumn < 5
integerColumn >= 5
integerColumn <= 5
integerColumn != 5
integerColumn = 5
integerColumn BETWEEN 9210084 AND 11420982
Группа Скобки ( ) группируют предложения для формирования подзапросов
(columnName = "black" OR columnName = "red")
AND columnName = "label"