检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
切换自定义日志时间开关。 表1 参数配置表 参数 说明 示例 字段key 已提取字段的名称。单击下拉框选择已提取的字段,该字段为string或long类型。 test 字段value 已提取的字段value,选择字段key后,将自动填充。 2022-07-19 12:12:00 时间格式
ET和POST的日志。 字段搜索 配置字段索引后,您可以指定字段名称和字段值(key:value)进行搜索。根据字段索引中设置的数据类型,您可以进行多种类型的基础搜索和组合搜索。 value参数不可为空,通过搜索语句key:""匹配字段值为空的日志。 字段搜索和 not 运算符配
表达式或其组合。其结果不是布尔值时,会进行真假判断。 操作 全局操作函数 否 全局操作函数或其组合。 返回结果 返回加工处理后的日志。 函数示例 示例1:字段值匹配后再进行操作。 result字段值为failed或failure时,设置__topic__字段的值为login_failed_event。
支持数字或字符串数据。 同比数据 选择待对比的字段,在图表中显示该字段对应的值。 主体设置 图表名称字号 设置图表名称的字号大小。 格式化 将数据按照指定格式进行显示。 数值字号 显示值的字号,取值范围为12px~80px。 数值单位 显示值的单位 单位字号 显示值单位的字号,取值范围为12px~50px。
COUNT(*) 统计行数。 SELECT COUNT(*) COUNT(DISTINCT expr) 统计字段中去重后的行数,字段值可以是字符串或者数字,返回值为估算值(默认存在2.3%的标准误差)。 SELECT COUNT(DISTINCT host) SUM(expr) 返回数字总和。
"body_length": 300 } 加工需求2:为所有status字段值为200,且request_method字段值为GET,且scheme字段值为https的日志事件添加一个新字段type,其值为normal。 加工规则: e_if(e_match_all("status"
当关闭全文索引,仅开启字段索引,则long类型和float类型的字段名将不记入索引流量中,每个字段值占用的索引流量统一为8字节。如果是String类型,则日志字段名(Key)和字段值(Value)都将作为text类型存储,字段名和字段值都被计入索引流量中。使用字段索引,可降低索引流量费用。
参数。 图1 漏斗图 表1 漏斗图参数说明 参数 说明 系列名称 漏斗图的名称。 数值列 选择数值字段,某个字段对应的数值越大,在越上面。 隐藏图例 开启后,可以隐藏漏斗图上方的字段名显示。 父主题: 使用统计图表将日志可视化
String 当字段type为"CRON"时取该字段。 最小长度:1 最大长度:1024 hour_of_day 否 Integer 当字段type为"DAILY"或者"WEEKLY"时取该字段。 DAILY:最小值:0,最大值:23 WEEKLY:最小值:0,最大值:23 day_of_week
式暂不支持。 加工规则 通过原始日志中的account字段和OBS CSV文件中的account字段进行匹配,只有account字段的值完全相同,才能匹配成功。匹配成功后,返回OBS CSV文件中的nickname字段和字段值,与原始日志中的数据拼接,生成新的数据。 e_tabl
场景二:使用e_set函数为日志空缺字段赋值 场景三:删除和重命名字段(e_drop_fields函数和e_rename函数) 场景四:转换日志参数类型(v函数、cn_int函数和dt_totimestamp函数) 场景五:使用default传参为日志不存在的字段填充默认值 场景六:使用e_if
36|-|-" } 背景需求: 当program字段值为access时,对字段content做一次PSV(pipe分隔的解析),然后丢弃content字段。 将request: GET /zf/11874.html HTTP/1.1字段拆分为request_method、http_version以及request。
是否开启LTS内置字段和用户自定义Tag。 选择转储所有字段后将转储日志下所有的内置字段和用户自定义字段,选择自定义转储字段后将手动配置LTS内置字段和自定义字段。 - 日志流标签字段 当转储格式选择JSON时,需要设置该参数。 是否开启日志流标签字段。开启后,转储类型支持转储所有字段或自定义转储字段。
添加的字段列表:<字段名称 : 字段内容> drop_keys Array of strings 删除的字段列表 source_keys Array of strings 字段重命名源字段名称列表 dest_keys Array of strings 字段重命名替换的字段名称列表
自定义时间特性时间字段,字段值需要从日志结果中获取,毫秒级时间戳。若已开启云端结构化自定义时间功能,需要使用该字段和line_num字段共同进行上下文查询。 backwardsSize 否 Integer 指定起始日志往前(上文)的日志条数,取值范围 [0, 500] ,默认值100 最小值:0
"node.name": "node-1", "index.name": "index_name" } 表1 主要日志字段说明 字段 说明 示例 log.level 日志级别,可以是INFO、WARN、ERROR等。 INFO @timestamp 日志记录的时间戳。
通用日期时间转换 dt_parse 将值或时间表达式的值转换为日期时间对象。 dt_str 将值或时间表达式的值转换为字符串。 dt_parsetimestamp 将值或时间表达式的值转换为Unix时间戳。 dt_prop 获取值或时间表达式值的特定属性,包括所属day、year等。
是 String 字段类型 fieldName 是 String 字段名称 最小长度:1 最大长度:256 caseSensitive 否 Boolean 是否大小写敏感 缺省值:false includeChinese 否 Boolean 是否包含中文 缺省值:false tokenizer
日志转储至DLI后,在DLI表中查不到新增分区怎么处理? 设置日志转储至DLI后,在DLI表中查不到新增分区,请参考如下方法处理。 方法1:更新表在元数据库中的分区信息 登录DLI控制台。 左侧导航栏选择“作业管理-SQL作业”。 单击对应队列的操作列“编辑”,进入详情页,在编辑框输入命令“MSCK
单位 自定义配置表格数据的单位。 小数点位数 设置显示数值小数点位数。 图表名称字号 设置图表名称的字号大小。 查询分析设置 隐藏字段 选择目标字段,将该字段在表格中隐藏。 表格配置 每页显示 每页显示的数据条数。 显示总数 显示表格数据的总条目数。 列配置 对齐方式 表格数据的对齐方式,支持左对齐,右对齐以及居中。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
