使用多行全文提取模式采集日志
最后更新时间:2024-01-20 17:14:28
操作场景
多行全文日志是指一条完整的日志数据跨占多行(例如 Java 程序日志)。在这种情况下,以换行符
\\n为日志的结束标识符就显得有些不合理,为了能让日志系统明确区分开每条日志,采用首行正则的方式进行匹配,当某行日志匹配上预先设置的正则表达式,就认为是一条日志的开头,而下一个行首出现作为该条日志的结束标识符。多行全文也会设置一个默认的键值
__CONTENT__,但日志数据本身不再进行日志结构化处理,也不会提取日志字段,日志属性的时间项由日志采集的时间决定。前提条件
假设您的一条多行日志原始数据为:
10.20.20.10 - - [Tue Jan 22 14:24:03 CST 2019 +0800] GET /online/sample HTTP/1.1 127.0.0.1 200 628 35 http://127.0.0.1/group/1Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0 0.310 0.310
该条日志最终被日志服务结构化处理为:
__CONTENT__:10.20.20.10 - - [Tue Jan 22 14:24:03 CST 2019 +0800] GET /online/sample HTTP/1.1 127.0.0.1 200 628 35 http://127.0.0.1/group/1 \\nMozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0 0.310 0.310
操作步骤
登录控制台
1. 登录 日志服务控制台。
2. 在左侧导航栏中,单击日志主题,进入日志主题管理页面。
创建日志主题
1. 单击创建日志主题。
2. 在弹出的对话框中,将“日志主题名称”填写为“test-mtext”,单击确定,即可新增日志主题。
机器组管理
1. 日志主题创建成功后,进入该日志主题管理页面。
2. 选择采集配置页签,在“LogListener采集配置”单击新增,选择需要采集的日志数据源格式。
3. 在“机器组管理”页面,勾选需要与当前日志主题进行绑定的机器组,单击下一步。
即可进入采集配置阶段,更多详情请参阅 管理机器组。
采集配置
配置日志文件采集路径
在“采集配置”页面,填写采集规则名称,并根据日志采集路径格式填写“采集路径”。
日志采集路径格式:
[目录前缀表达式]/**/[文件名表达式]。填写日志采集路径后,LogListener 会按照**[目录前缀表达式]匹配所有符合规则的公共前缀路径,并监听这些目录(包含子层目录)下所有符合[文件名表达式]**规则的日志文件。其参数详细说明如下:
字段 | 说明 |
目录前缀 | 日志文件前缀目录结构,仅支持通配符 * 和 ? * 表示匹配多个任意字符 ? 表示匹配单个任意字符 |
/**/ | 表示当前目录以及所有子目录 |
文件名 | 日志文件名,仅支持通配符 * 和 ? * 表示匹配多个任意字符 ? 表示匹配单个任意字符 |
常用的配置模式如下:
[公共目录前缀]/**/[公共文件名前缀]*
[公共目录前缀]/**/*[公共文件名后缀]
[公共目录前缀]/**/[公共文件名前缀]*[公共文件名后缀]
[公共目录前缀]/**/*[公共字符串]*
填写示例如下:
序号 | 目录前缀表达式 | 文件名表达式 | 说明 |
1. | /var/log/nginx | access.log | 此例中,日志路径配置为 /var/log/nginx/**/access.log, LogListener 将会监听 /var/log/nginx 前缀路径下所有子目录中以 access.log 命名的日志文件 |
2. | /var/log/nginx | *.log | 此例中,日志路径配置为 /var/log/nginx/**/*.log,LogListener 将会监听 /var/log/nginx 前缀路径下所有子目录中以 .log 结尾的日志文件 |
3. | /var/log/nginx | error* | 此例中,日志路径配置为 /var/log/nginx/**/error*,LogListener 将会监听 /var/log/nginx 前缀路径下所有子目录中以 error 开头命名的日志文件 |
注意:
Loglistener 2.3.9及以上版本才可以添加多个采集路径。
暂不支持上传的日志内容中含有多种文本格式,可能会导致写入失败,例如 key:"{"substream":XXX}"。
建议配置采集路径为
log/*.log,rename日志轮转后的老文件命名为 log/*.log.xxxx。默认情况下,一个日志文件只能被一个日志主题采集。如果一个文件需要对应多个采集配置,请给源文件添加一个软链接,并将其加到另一组采集配置中。
配置采集策略
全量采集:Loglistener 采集文件时,从文件的开头开始读。
增量采集:Loglistener 采集文件时,只采集文件内新增的内容。
配置多行全文格式
1. 在“采集配置”页面,将“提取模式”设置为多行全文。
2. 根据如下规则,定义正则表达式。
您可选择自动生成或者手动输入两种方式定义首行正则表达式,系统会根据样例内容进行正则表达式的验证。
自动生成:在文本框中,输入日志样例,单击自动生成,系统自动在置灰的文本框中生成行首正则表达式。
手动输入:在文本框中,输入日志样例,输入首行正则表达式,单击验证,系统将判断表达式是否通过。
配置过滤器条件
过滤器旨在您根据业务需要添加日志采集过滤规则,帮助您筛选出有价值的日志数据。过滤规则为 Perl 正则表达式,所创建的过滤规则为命中规则,即匹配上正则表达式的日志才会被采集上报。
多行全文模式下,默认使用
__CONTENT__作为全文的键(key)名。例如,多行全文日志样例格式为:10.20.20.10 - - [Tue Jan 22 14:24:03 CST 2019 +0800] GET /online/sample HTTP/1.1 127.0.0.1 200 628 35 http://127.0.0.1/group/1Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0 0.310 0.310
您希望采集
10.20.20.10这台机器的所有日志,则 key 处填写 __CONTENT__,过滤规则配置 10.20.20.10.*。注意:
多条过滤规则之间关系是"与"逻辑;若同一 key 名配置多条过滤规则,规则会被覆盖。
配置上传解析失败日志
建议开启上传解析失败日志。开启后,Loglistener 会上传各式解析失败的日志。若关闭上传解析失败日志,则会丢弃失败的日志。
开启后需要配置解析失败的 Key 值(默认为 LogParseFailure),所有解析失败的日志,均以输入内容作为键名称(Key),原始日志内容作为值(Value)进行上传。
索引配置
1. 单击下一步,进入“索引配置”页面。
2. 在“索引配置”页面,设置如下信息。
索引状态:确认是否开启。
注意:
检索必须开启索引配置,否则无法检索。
全文索引:确认是否需要设置大小写敏感。
全文分词符:默认为“@&()='",;:<>[]{}/ \\n\\t\\r”,确认是否需要修改。
键值索引:默认关闭,您可根据 key 名按需进行字段类型、分词符以及是否开启统计分析的配置。若您需要开启键值索引,可将 
3. 单击提交,完成采集配置。
相关操作
文档反馈