Мониторинг логов v1: различия между версиями
ENetrebin (обсуждение | вклад) |
ENetrebin (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
'''''[[Применение Ключ-АСТРОМ]] / [[Применение Ключ-АСТРОМ#.D0.9C.D0.BE.D0.BD.D0.B8.D1.82.D0.BE.D1.80.D0.B8.D0.BD.D0.B3%20.D0.BB.D0.BE.D0.B3.D0.BE.D0.B2|Мониторинг логов]] / Мониторинг логов v1''''' | |||
== Просмотр журнала == | == Просмотр журнала == | ||
Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » . | Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » . |
Текущая версия на 14:13, 6 сентября 2024
Применение Ключ-АСТРОМ / Мониторинг логов / Мониторинг логов v1
Просмотр журнала
Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .
Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).
Журналы по запросу
Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.
Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
Шаблоны поиска в данных журнала и результаты синтаксического анализа
Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.
Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.
Просмотр журнала
Средство просмотра журнала Ключ-АСТРОМ бесплатно включено в стоимость хост-модуля. Ключ-АСТРОМ получает доступ и анализирует все журналы, хранящиеся на отслеживаемых хост-дисках. Чтобы получить доступ к просмотрщику журналов, в меню Ключ-АСТРОМ выберите « Журналы » и выберите « Анализ файлов журналов » .
Из средства просмотра журналов вы можете получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (сохранения).
Журналы по запросу
Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы переходите, будет автоматически выбран в средстве просмотра журнала. Имейте в виду, что вы можете просматривать данные журнала только за последние семь дней и только по одному файлу за раз.
Чтобы просмотреть журналы для выбранного процесса, используйте список файлов журналов на отдельных страницах процессов . В приведенном ниже примере на странице процесса «couchDB_ET» отображаются два связанных файла журнала. Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста . Щелчок по одному из них открывает средство просмотра журнала с предварительно выбранным журналом.
Шаблоны поиска в данных журнала и результаты синтаксического анализа
Файлы журнала обычно содержат много текста. Один из способов обработки большого количества текста — сгруппировать похожие записи журнала вместе и проанализировать их. Средство просмотра журнала позволяет вам представлять необработанные данные журнала в сортируемой и фильтруемой таблице, с которой легко работать.
Используйте Log Viewer для просмотра содержимого отдельных файлов журналов процессов или поиска в выбранных файлах журналов по ключевым словам. Отображаются только хосты или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в необработанном, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результаты поиска текстового шаблона, показать и скрыть определенные столбцы, а также определить свои собственные настраиваемые столбцы.
Закладки
Используйте закладку, чтобы сохранять и повторно использовать поисковые запросы и фильтры. Любые изменения, внесенные вами во время анализа журнала (анализ журнала и фильтрация столбцов), будут сохранены в закладке. С помощью закладок вы сможете вернуться к тем же настройкам позже. Помните, что временные рамки, применяемые к поисковым запросам и фильтрам, отмеченным закладками, совпадают с теми же временными рамками, которые в настоящее время установлены на странице.
Делитесь ссылками
Анализ журнала общего доступа отличается от закладок. Ссылка общего доступа включает выбранный период времени, поэтому человек, получивший ссылку, увидит именно то, чем вы хотите поделиться, в выбранный вами период времени. Общая ссылка активна только в течение периода хранения журнала для этой среды. По истечении периода хранения журнала общая ссылка не работает, поскольку данные журнала недоступны.
Поиск текстовых шаблонов в лог-файлах
Чтобы выполнить поиск текстового шаблона в файлах журналов, выберите журналы с точки зрения хоста или группы процессов, затем найдите текстовый шаблон с помощью языка поисковых запросов Ключ-АСТРОМ (или оставьте поле запроса пустым, чтобы получить все результаты).
Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов Ключ-АСТРОМ обеспечивает полную гибкость поиска по важному содержимому журналов процессов.
Покажи мне все
Чтобы вернуть все результаты, оставьте поле запроса пустым.
Синтаксис запроса текстового шаблона
Вы можете выбрать или выделить разделы или элементы отображаемого содержимого журнала, чтобы создать или изменить поисковый запрос по текстовому шаблону. Выберите Выполнить запрос , чтобы снова отобразить выбранные журналы.
Категория | Описание | Пример |
---|---|---|
Однословные термины | Поиск по одному слову помогает найти вхождения отдельных слов. Поиск нечувствителен к регистру.
Искомые слова в файлах журналов определяются как строки между любыми не буквенно-цифровыми символами или пробелами. Например, запрос строки |
|
Фразы | Фразы — это группы слов, заключенные в двойные кавычки. В запросах фразы обрабатываются так же, как однословные термины. Если поисковая фраза состоит только из буквенно-цифровых символов [a-zA-Z0-9] , то запрос фактически представляет собой запрос термина из одного слова, поэтому двойные кавычки " " можно опустить.
Вы НЕ МОЖЕТЕ включать какие-либо логические операторы, подстановочные знаки или группировки (см. ниже) внутри фраз в кавычках. Любой символ, заключенный в кавычки, ищется буквально. Например, |
|
Логические операторы | Операторы могут быть написаны как в верхнем, так и в нижнем регистре: AND , && Запись в журнале совпадает, если она содержит обе окружающие строки. OR , || Запись журнала соответствует, если она содержит хотя бы одну из окружающих строк. NOT Запись журнала соответствует, если она НЕ содержит строки после NOT . Логический оператор AND автоматически вставляется между однословными терминами, не заключенными в круглые скобки. Например, test failed равно test AND failed .
Приоритет : |
|
Группировка | Скобки ( ) можно использовать для группировки предложений в подзапросы.
|
|
Подстановочные знаки | Подстановочные знаки можно использовать для представления переменных или неизвестных буквенно-цифровых символов в условиях поиска. Звездочку * можно использовать для представления любой строки, состоящей из буквенно-цифровых символов. Знак вопроса ? может использоваться для представления любого отдельного буквенно-цифрового символа.
Примечание . Односимвольные запросы с подстановочными знаками |
|
Специальные символы | Специальные символы должны быть экранированы \ (обратная косая черта), а весь запрос должен быть заключен в "" (двойные кавычки). Например, чтобы найти следующие записи журнала: status\":502,\"statusText , в вашем запросе вы должны экранировать \ и " двойные кавычки. Кроме того, вы должны заключить все в двойные кавычки.
|
|
Примеры запросов
Error AND Module1?2
"Connection refused" OR Timeout
Procedure AND (started OR stopped)
Exception AND NOT repeat*
Расширенные опции
Выберите Дополнительные параметры, чтобы создать столбцы на основе значений, извлеченных из данных журнала. Новые столбцы применяются к результатам поиска текстового шаблона в файлах журналов. Извлеченное значение будет первым сопоставленным для каждой записи журнала.
Извлечь поля
Чтобы создать столбец, определите раздел данных журнала, который следует извлечь как столбец. Укажите строку, непосредственно предшествующую ( val_pref
) и непосредственно следующую за ( val_suff
) значением, которое вы хотите использовать в столбце. Если совпадение найдено, все, что находится между val_pref
и val_suff
, будет извлечено как значение в столбце, определенном в объявлении столбца.
- Если вы используете какие-либо из следующих специальных символов в префиксе или суффиксе, вам необходимо экранировать их с помощью обратной косой черты (
\
):"
- двойная кавычка%
- процент,
- запятая\
- обратная косая черта - Тип извлеченного значения должен быть одним из поддерживаемых типов столбцов: INTEGER, NUMBER, STRING или BOOLEAN.
- При сопоставлении префиксов (
val_pref
) и суффиксов (val_suff
) учитывается регистр. - Если значение между
val_pref
иval_suff
не соответствует типу, определенному в типе столбца, для определенного столбца не будет возвращено никакого значения. - Учитывается только первое вхождение префикса. Если соответствующий суффикс отсутствует, ни одно значение не будет соответствовать, даже если совпадающая комбинация префикса и суффикса встречается позже в записи журнала.
- Пустой суффикс означает соответствие от префикса до конца записи журнала.
- Пробелы не обрезаются. Префикс и суффикс должны точно совпадать. Дополнительные пробелы не приводят к совпадению.
В объявлении столбца указывается тип столбца ( col_type
) и имя столбца ( col_name
), разделенные :
(символом двоеточия).
Используйте следующий синтаксис для определения столбца:"val_pref%{col_type:col_name}val_suff"
Литеральное объявление столбца
Поскольку объявление столбца является буквальным, обязательно заключайте его в кавычки.
Тип столбца определяет, как значение сопоставляется с данными журнала, и сильно влияет на то, что извлекается как значение. Ниже приведены допустимые типы столбцов, которые вы можете использовать в объявлении столбца:
INTEGER
Потенциально извлекаемое значение:
- Может содержать символы
0
-9
, и необязательно в начале+
или-
. - Не может содержать пробелы или символы подчеркивания
_
. - Максимальная длина токена составляет 20 символов.
- Пустой токен не подходит (не относится к столбцу).
- Представленное значение находится в диапазоне длинного типа Java.
Пользовательские столбцы только для сохраненных журналов
Пользовательские столбцы можно применять только к централизованно хранимым журналам.
Вы можете добавить, скрыть или удалить пользовательский столбец в отображении журнала. Каждое имя столбца должно быть уникальным. Не используйте имя любого автоматически обнаруженного столбца и не повторяйте имя пользовательского столбца, которое вы уже использовали.
Пример данных, которые соответствуют типу столбца INTEGER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:
"1234"
"+1234"
"-1234"
Пример данных, которые не соответствуют типу столбца INTEGER.
Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца INTEGER :
""
"123L"
"1_234"
"1 234"
"0x123"
"1234567890123456789012"
ЧИСЛО
Потенциально извлекаемое значение:
- Может содержать символы
+
,-
,.
,e
,E
и любую цифру между0 - 9
. - Должен представлять десятичное число в обычном или экспоненциальном представлении
123E456
.
Пример данных, которые соответствуют типу столбца NUMBER и будут извлечены как значение в определенном столбце для записи журнала, в которой оно было сопоставлено:
"123"
"123."
".123"
"123.4"
"123.4e12"
"123.4E56"
"+123.4e+12"
"-123.4e-12"
Пример данных, которые не соответствуют типу столбца NUMBER.
Следующие данные журнала не будут отображаться как значения в определенном столбце, если вы используете тип столбца NUMBER :
""
"."
"123f"
"123,4"
"123e"
"123 e4"
"123e4.5"
"123.4e99"
"0x12.2P2"
Объявления нескольких столбцов
Вы можете определить несколько столбцов одновременно, разделив объявление каждого столбца ,
(запятой).
Например:"prefix1%{INTEGER:myColumn1}suffix1","prefix2%{INTEGER:myColumn2}suffix2"
STRING
Все символы, найденные между val_suff
и val_suff
, будут обрабатываться и извлекаться как строковое значение в определенном столбце.
BOOLEAN
Все символы между val_suff
и val_suff
будут обрабатываться и сопоставляться как логическое значение в записи журнала ( true
или false
).
Примеры извлечения полей
В следующем примере показано поведение механизма извлечения, когда в определении столбца используются определенные значения. Выходной столбец представляет значение записи журнала во вновь определенном myColumn
столбце.
Запись в журнале | Префикс | Суффикс | Тип столбца | Определение столбца | Выход |
---|---|---|---|---|---|
pref123suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
pref123suff | pref
|
suff
|
NUMBER
|
"pref%{NUMBER:myColumn}suff"
|
123.0f
|
pref123suff pref456suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
некоторый текст, занимающий
несколько строк текста pref123suff |
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- | |
преф123456"" | pref
|
""
|
INTEGER
|
"pref%{INTEGER:myColumn}\"\"" 1
|
123456L
|
pref123456 | pref
|
456
|
INTEGER
|
"pref%{INTEGER:myColumn}456"
|
123L
|
преф123суфф"" | pref
|
""
|
INTEGER
|
"pref%{INTEGER:myColumn}\"\"" 1
|
- |
Pref123suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
преф 123 суфф | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
pref
pref123suff |
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
abc123def | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
pref-abc-suff | pref
|
suff
|
STRING
|
"pref%{STRING:myColumn}suff"
|
-abc-
|
преф: правда, | pref:
|
,
|
BOOLEAN
|
"pref:%{BOOLEAN:myColumn}\," 1
|
true
|
1
Если вы используете какие-либо специальные символы ( "
, %
, ,
, \
) в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты ( \
).
Фильтр значений столбца
Фильтровать только для выполнения запроса
Этот фильтр можно применять только к результатам выполнения запроса . Это не относится к Create metric .
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к тем столбцам, для которых нет ограничений ( _Source
, _Timestamp
, _Content
). Примените фильтр ко всем столбцам, проанализированным вручную и автоматически (включая столбцы с извлеченными значениями в дополнительных параметрах ). Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.
Фильтровать только сохраненные журналы
Этот фильтр можно применять только к централизованно хранимым журналам.
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены ( _Source
, _Timestamp
, _Content
). Примените фильтр ко всем столбцам с ручным и автоматическим анализом. Имена столбцов, и значения, используемые в фильтре, чувствительны к регистру.
Каждый столбец содержит значение определенного типа: строка , число , целое число или логическое значение true/false . В зависимости от типа значения синтаксис вашего фильтра может различаться. Например, если столбец представляет собой числовой тип, а вы назначаете другой тип значения (строка, десятичное число или истина/ложь) в своем фильтре, вы сгенерируете ошибку синтаксического анализа.
Имена столбцов, содержащие специальные символы (включая пробелы), должны быть заключены в обратные кавычки.
Например:
`integer Column # 2` = 20
Отфильтрованные значения, содержащие кавычки, должны быть заключены в двойные кавычки.
Например, значение path "test" error
должно быть введено в фильтр как:
expath = "path ""test"" error"
- Значения столбца, в которых сумма имени столбца и длины значения превышает 8191 символ, сокращаются многоточием.
Закладки
Недопустимый запрос фильтра столбца не будет применен к уже сохраненным или общедоступным закладкам.
Синтаксис фильтрации
Категория | Описание | Пример |
---|---|---|
логический | Логическое значение. Подстановочные знаки не принимаются для логических значений ( true или false ).
|
|
Число | числовое значение; может быть целым или десятичным. Поддерживается только . (точка) с плавающей запятой, а числа должны быть представлены без пробелов или других разделителей.
Диапазон номеров для доступных типов:
Подстановочные знаки не принимаются для числового типа. |
|
Фраза | Группа слов, заключенная в двойные кавычки. Обрабатывается в поиске как одно слово. В скобках допускаются подстановочные знаки. |
|
Подстановочный знак | Заменяет часть одного термина слова. Возможные специальные символы:
Подстановочные знаки не принимаются для чисел и логических операторов. |
|
Оператор | И - окружающие термины должны существовать
ИЛИ - должен существовать один из окружающих терминов NOT – последующий термин или фраза не должны существовать. |
|
Сравнение | > (больше чем)
< (меньше чем) >= (больше или равно) <= (меньше или равно) != (не равно) = (равно) МЕЖДУ (диапазон для проверки) В этом выражении должен присутствовать оператор AND . |
|
Группа | Скобки ( ) группируют предложения для формирования подзапросов |
|