Обработка логов

Ключ-АСТРОМ Log Monitoring может преобразовывать входящие данные логов для лучшего понимания, анализа или дальнейшей обработки на основе созданных вами правил.

Информация может быть записана в очень широком спектре форматов в зависимости от приложения или процесса, операционной системы или других факторов. Обработка логов предлагает централизованный и гибкий способ извлечения ценности из этих необработанных строк логов.

Например, вы можете извлекать числовые значения из строки лога с помощью обработки логов, преобразовывать их в метрики на платформе Ключ-АСТРОМ и включать их в дашборды и средства обнаружения проблем.

Обработка логов не влияет на потребление ИИ при приеме этих логов.

Правила обработки логов

Перейдите в Настройки > Мониторинг логов > Обработка, чтобы просмотреть действующие правила обработки логов, изменить порядок существующих правил и создать новые правила. Правила выполняются в том порядке, в котором они перечислены, сверху вниз. Этот порядок имеет решающее значение, поскольку предыдущее правило может повлиять на данные логов, которые последующее правило использует в своем определении.

Разверните Детали, чтобы изучить определение правила. Правило обработки логов состоит из следующего:

• Название правила
• Соответствие
• Определение процессора

Вы можете включить или отключить любое правило в столбце «Активно» .

Встроенные правила

По умолчанию обработка логов имеет множество включенных встроенных правил, отвечающих за очистку или нормализацию данных логов. Имя каждого встроенного правила начинается с [Built-in]. Вы не можете изменять эти правила напрямую, но у вас есть возможность отключить их, скопировать их определения и создать новые правила с вашими изменениями.

Добавить правило

Чтобы создать правило обработки журнала

1. Выберите Добавить правило обработки на странице Обработка логов.
2. Укажите Название правила обработки логов.
3. Укажите запрос логов в разделе Соответствие. Запрос поиска логов сужает доступные данные логов для выполнения этого конкретного правила. Это тот же поисковый запрос, который вы использовали в поисковом запросе средства просмотра логов ( Log viewer ). Соответствие на основе предыдущих правил не поддерживается. Соответствие работает с исходным набором данных до применения каких-либо правил обработки. Сопоставление записей, измененных предыдущими правилами, не поддерживается. Например, измененное поле в правиле 1 и использованное для сопоставления в правиле 2, будет содержать исходное значение для этого поля и не будет использовать измененное поле в правиле 1.
4. Предоставьте определение процессора обработки. определение процессора обработки — это инструкция по обработке логов о том, как Ключ-АСТРОМ должен преобразовывать или изменять ваши данные логов, суженные запросом логов. определение процессора создается с использованием команд обработки логов, функций и сопоставления шаблонов, что позволяет добавлять, преобразовывать или удалять входящие записи логов. Это дает вам полный контроль над тем, как ваши данные логов представляются в Ключ-АСТРОМ Log Monitoring.
5. Протестируйте правило обработки журнала. Вы можете протестировать определение правила, либо загрузив образец логов, либо вручную предоставив фрагмент образца логов в текстовом поле Образец лога. 1. Выберите образец лога
   • Если вы решите загрузить образец лога, данные, используемые для проверки правила, будут соответствовать результату запроса логов.
   • Если вы решили предоставить фрагмент данных лога вручную, убедитесь, что он в формате JSON. Любые текстовые данные логов JSON должны быть вставлены в поле content. 2. Запустите тест. Выберите «Проверить правило» и просмотрите результат в текстовом поле «Результат проверки» .
6. Нажмите Сохранить изменения .