检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
'iphone|ipod|ios') then 'IOS' when regexp_like(lower(http_user_agent), 'android') then 'Android' else 'other' end as type , count(1) as total group by type
全文索引 开启全文索引后,日志服务根据您设置的分词符将整条日志所有字段值拆分成多个词并构建索引。 用户上传的自定义标签(label)字段,不包含在全文索引中,如果您需要搜索自定义标签字段,请添加对应的字段索引。 LTS内置保留字段,不包含在全文索引中,您需要通过字段索引Key:Val
全文索引 开启全文索引后,日志服务根据您设置的分词符将整条日志所有字段值拆分成多个词并构建索引。 用户上传的自定义标签(label)字段,不包含在全文索引中,如果您需要搜索自定义标签字段,请添加对应的字段索引。 LTS内置保留字段,不包含在全文索引中,您需要通过字段索引Key:Val
log。此处的xxx按照用户习惯,一般是指日期,如20240103,但不能含字母。 自定义轮转规则:如果您的日志文件轮转后命名规则不符合上述的最佳实践建议,可能导致轮转文件被重复采集,您可以通过自定义轮转规则来规避此问题。您可以为每条日志采集路径添加自定义轮转规则,基于正则表达式匹配轮转后的文件名,匹配成功的
选择转储所有字段后将转储日志下所有的字段,选择自定义转储字段后将手动配置用户日志字段。 - LTS内置字段和用户自定义Tag 当转储格式选择JSON时,需要设置该参数。 是否开启LTS内置字段和用户自定义Tag。 选择转储所有字段后将转储日志下所有的内置字段和用户自定义字段,选择自定义转储字段后将手动配置LTS内置字段和自定义字段。
when strpos(ua, 'ipad') > 1 then 'ipad' when strpos(ua, 'android') > 1 then 'android' when strpos(ua, 'windows') > 1 then 'windows' when strpos(ua
'iphone|ipod|ios') then 'IOS' when regexp_like(lower(http_user_agent), 'android') then 'Android' else 'other' end as type , count(1) as total group by type
'iphone|ipod|ios') then 'IOS' when regexp_like(lower(user_agent), 'android') then 'Android' else 'other' end as type , count(1) as total group by type
日志搜索:使用关键字查询,获取原始日志内容。您可以通过查询日志接口中的line_num、search_type、limit和is_desc参数实现多种形式的翻页效果。更多信息请参见查询日志。 统计图表:使用SQL对查询结果进行分析,获取统计结果。您可以通过SQL中的LIMIT语法实现分页。更多信息请参见SQL查询语法概述。
ORC:采集ORC格式的日志。 不开启“自定义时间”时,使用日志被采集时间作为日志时间。 开启“自定义时间”时,可指定某一字段作为日志时间。填写时间字段Key名称、字段Value、时间格式,设置完成后,单击校验。如果导入的数据写入到css集群,LTS不支持ORC格式日志自定义两天前的时间。自定义时间格式请参考Oracle官网的时间匹配字符。
关键词告警 SQL告警 日志资源使用量预警 LTS提供日志资源使用量预警能力,开启自定义日志资源使用量预警开关后,系统将自动为您创建一条告警规则(日志资源使用量预警)。当日志使用量超过当前配置的自定义日志资源使用量额度时,系统会发送告警通知 日志资源使用量预警 父主题: 安全
开始读。 自定义元数据 关闭“自定义元数据”,使用ICAgent系统默认配置的字段上报到LTS,不需要用户配置且ICAgent系统不支持配置。 开启“自定义元数据”,根据用户选择的内置字段和自定义键值增加字段上报到LTS。 系统内置字段:勾选需要设置的内置字段。 自定义键值对:单
'iphone|ipod|ios') then 'IOS' when regexp_like(lower(http_user_agent), 'android') then 'Android' else 'other' end as type , count(1) as total group by type
开始读。 自定义元数据 关闭“自定义元数据”,使用ICAgent系统默认配置的字段上报到LTS,不需要用户配置且ICAgent系统不支持配置。 开启“自定义元数据”,根据用户选择的内置字段和自定义键值增加字段上报到LTS。 系统内置字段:勾选需要设置的内置字段。 自定义键值对:单
设置云端结构化解析日志 日志结构化概述 设置日志云端结构化解析 设置云端结构化模板 设置云端结构化字段和tag字段 设置云端结构化自定义日志时间 父主题: 日志搜索与分析(管道符方式-邀测)
是否上传解析失败日志 split_sep 否 String 分隔符 自定义字符最大长度10,自定义字符串最大长度30 split_type 否 String 分隔符类型:char-自定义字符;special_char-不可见字符;string-自定义字符串 fields 否 Map<String,String>
支持文本escape e_kv_delimit 使用特定正则表达式 使用分隔符 支持前后缀 默认无 e_regex 组合自定义正则表达式和默认字符集过滤 完全自定义 自定义 自定义 大部分键值对的提取使用e_kv函数并配置特定参数就可以很好地满足,尤其是带括字符和反斜杠需要提取并转义时。其
g,目前华为云主机默认未配置接收远程Syslog写入,需要手动开启。 日志接入 将自建ELK日志导入云日志服务LTS 本实践主要介绍使用自定义Python脚本和LTS采集器ICAgent,协助用户将日志从Elasticsearch(简称ES)迁移到LTS中。 日志接入 基于VPN
是否上传解析失败日志 split_sep String 分隔符 自定义字符最大长度10,自定义字符串最大长度30 split_type String 分隔符类型:char-自定义字符;special_char-不可见字符;string-自定义字符串 fields Map<String,String>
开始读。 自定义元数据 关闭“自定义元数据”,使用ICAgent系统默认配置的字段上报到LTS,不需要用户配置且ICAgent系统不支持配置。 开启“自定义元数据”,根据用户选择的内置字段和自定义键值增加字段上报到LTS。 系统内置字段:勾选需要设置的内置字段。 自定义键值对:单
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
