Программа просмотра логов
Применение Ключ-АСТРОМ / Навигация 2.0 / Мониторинг логов / Анализ данных логов / Программа просмотра логов
Программа просмотра логов позволяет вам просматривать логи в течение определенного периода времени, используя обнаруженные аспекты содержимого логов. Вы можете использовать доступные атрибуты , чтобы сузить просмотр логов и сосредоточиться на определенном аспекте содержимого логов.
Чтобы получить доступ к программе просмотра логов, перейдите в раздел «Логи» или «Логи и события» (последняя версия Ключ-АСТРОМ). Программа просмотра логов имеет четыре раздела:
Поиск
В Фильтр по можно задать фильтры, чтобы сузить события логов, отображаемые в таблице результатов. Выберите Расширенный запрос , чтобы вручную отредактировать запрос.
- При отображении Фильтр по (по умолчанию) фильтр находится в режиме автозаполнения, где вы выбираете из набора обнаруженных полей данных логов для фильтрации результатов (ограничение в 10 различных атрибутов). Для фильтров с одинаковыми атрибутами только одно утверждение должно быть истинным. Для фильтров с разными атрибутами все утверждения должны быть истинными. В режиме автозаполнения выбранные фильтры и доступные атрибуты синхронизируются автоматически. При использовании поискового запроса в простом режиме:
- Если искомые имена атрибутов совпадают, применяется оператор OR . Результаты поиска включают элементы, соответствующие любому из указанных имен атрибутов. Он обеспечивает более широкий поиск, допуская вариации имен атрибутов.
- Если искомые имена атрибутов различаются, применяется оператор AND . Результаты поиска включают только элементы, которые одновременно соответствуют всем указанным именам атрибутов. Он сужает поиск до элементов, которые соответствуют нескольким критериям.
- При выборе расширенного запроса вы можете указать более сложные критерии для событий логов, используя комбинации ключевых слов, фраз, логических операторов и скобок (ограничение в 10 различных атрибутов). Язык поисковых запросов Ключ-Астром обеспечивает вам полную гибкость при поиске по содержимому логов. Вы можете использовать запись запроса для быстрого текстового поиска по содержимому данных логов. Любая строка, введенная в текстовое поле запроса без указания атрибута данных логов, будет рассматриваться как простой текстовый поиск по содержимому данных логов.
▶ При фильтрации по содержимому логов можно использовать только полные токены. Содержимое логов делится на токены в соответствии с правилами сегментации текста Unicode. В качестве альтернативы вы можете использовать подстановочный знак * в конце токена.
Вы можете включить и выключить расширенный запрос , чтобы переключаться между режимами автозаполнения и расширенным режимом. Ключ-Астром преобразует фильтры автозаполнения в запрос и наоборот при условии, что запрос в расширенном режиме может быть преобразован. Некоторые сложные запросы с логическими операторами не могут быть преобразованы в фильтры автозаполнения, в этом случае переключение в режим автозаполнения становится недоступным.
▶ В расширенном режиме вы можете запустить пустой запрос для возврата неотфильтрованных данных логов.
Поиск нечувствителен к регистру, но это поведение изменится в будущих выпусках.
Категория | Описание | Пример |
---|---|---|
Текстовый поиск | Текстовый поиск помогает вам находить отдельные вхождения слов. Вы можете искать текст без какого-либо синтаксиса (при условии отсутствия специальных символов или ключевых слов, таких как OR " = \ ). Этот текстовый поиск ищет только слова и игнорирует любые небуквенно-цифровые (пробелы, интерпункты) символы между ними.
Пробелы интерпретируются как операторы И:
Также этот режим позволяет использовать двойные кавычки:
Поиск нечувствителен к регистру, как для имен атрибутов, так и для значений.
Запрос имеет ограничение в 20 отношений: логических операторов (И, ИЛИ) или операторов сравнения ( |
error
|
Атрибуты | Поиск записей, имеющих указанный атрибут с указанным значением.
Поиск записей, не имеющих указанного атрибута с указанным значением. Поиск записей, не содержащих указанную фразу в поле содержимого. Вы можете писать числа без кавычек, включая положительные и отрицательные десятичные знаки (например, -123.34) |
host.name="HOST1"
|
Фразы | Фраза — это группа слов, заключенная в двойные кавычки. Фразы обрабатываются так же, как и отдельные термины в запросах. Это позволяет вам искать данные логов для указанной фразы в поле контента. Возвращает только те записи, в которых вся фраза совпадает. В этом примере за словом search должно сразу следовать слово text .
Помните, что при поиске контента по фразе учитываются только буквенно-цифровые символы, как и при текстовом поиске, описанном выше. |
content="search text"
|
Операторы | Допустимые операторы — AND , OR и могут быть написаны как в верхнем, так и в нижнем регистре. Данные логов AND совпадают , если они содержат обе окружающие строки. Данные логов OR совпадают, если они содержат хотя бы одну из окружающих строк. Логический оператор AND автоматически вставляется между терминами из одного слова, которые не заключены в скобки.
Приоритет : |
status="INFO" AND host.name="HOST1"
|
Группировка | Скобки ( ) можно использовать для группировки предложений в подзапросы.
|
status="INFO" AND
|
Универсальные символы | Подстановочные знаки могут использоваться для представления переменной или неизвестных буквенно-цифровых символов в поисковых терминах.
Звездочка |
host.name="host*"
|
Специальные символы | Экранирование специальных символов в именах атрибутов или значениях атрибутов:
Для имен атрибутов: Атрибут может содержать любые символы Для значений атрибутов: Специальные символы: Для режима свободного текстового поиска: заключите ключевые слова в двойные кавычки. Значения, содержащие специальные символы, должны быть заключены в двойные кавычки, а специальные символы должны быть экранированы с помощью |
`attri=bute`="\"abc"
|
Селектор объектов
|
Поиск записей с использованием селектора объектов.
|
attribute inEntitySelector "$(entitySelector)"
|
Диаграмма
Диаграмма логов представляет собой гистограмму событий логов с течением времени, которая дает вам краткий обзор логов и их серьезности в выбранном временном интервале.
Таблица результатов
Таблица результатов под диаграммой отображает события логов, соответствующие предоставленному запросу и фильтру в выбранном временном интервале. Каждая строка в таблице представляет собой запись логов и может быть расширена для получения подробных данных логов. Отображаются первые 100 соответствующих записей, но вы можете просмотреть больше результатов, выбрав Показать еще 100 внизу таблицы.
По умолчанию принятые записи логов сортируются по временной метке, а затем в соответствии с порядком, который поддерживается в источнике логов, где источником логов является удаленный процесс, выполняющий запись в конечную точку REST API, или удаленный процесс, в котором обнаруживаются логи.
По умолчанию средство просмотра логов отображает максимум 1000 событий логов. Если вы не видите ожидаемых результатов, выполните более точный запрос или сузьте временные рамки, чтобы увидеть более сфокусированные данные логов.
Чтобы показать или скрыть определенные столбцы в таблице результатов
- Выберите Форматировать таблицу . Это перечисляет сгенерированные и зарезервированные атрибуты логов Ключ-Астром, которые можно добавить в таблицу результатов для видимости и использовать в качестве измерений при создании метрики логов. Например, можно использовать атрибут
dt.entity.process_group
для отображения экземпляра группы процессов, для которого произошло событие логов. - Установите или снимите флажки, чтобы отобразить или скрыть соответствующие столбцы в таблице.
Для экспорта табличных данных
- Выберите Действия .
- Выберите Загрузить таблицу (JSON) или Загрузить таблицу (CSV) в зависимости от необходимого вам формата. Ваш поисковый запрос может вернуть более 1000 записей логов, в таблице результатов будут отображены только первые 1000 записей логов. В результате экспортированные данные таблицы будут содержать только 1000 записей логов, видимых в таблице. Экспортированные записи логов будут включать полные данные логов для каждой записи, даже если они не отображаются в столбце таблицы.
Доступные атрибуты
Доступные атрибуты (отображаются слева от таблицы) предоставляют обзор и возможность фильтровать данные логов. Доступные атрибуты — это автоматически определяемые атрибуты данных, представленных в таблице. Вы можете использовать их для быстрой фильтрации данных таблицы результатов для определенного атрибута данных логов. Каждый доступный атрибут отображает до десяти самых популярных значений для этого атрибута. Чтобы отфильтровать все значения для определенного атрибута, создайте и выполните запрос в поиске средства просмотра логов.
Подробности логов
Уникальные атрибуты данных логов (атрибуты с высокой кардинальностью), такие как span_id
и trace_id
создают неоправданно избыточные списки доступных атрибутов, которые могут повлиять на производительность средства просмотра логов. По этой причине они не перечислены в Доступные атрибуты . Вы по-прежнему можете использовать их в расширенном поисковом запросе.