检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"node.name": "node-1", "index.name": "index_name" } 表1 主要日志字段说明 字段 说明 示例 log.level 日志级别,可以是INFO、WARN、ERROR等。 INFO @timestamp 日志记录的时间戳。
若时间格式填写错误或指定字段不存在,将使用日志被采集时间作为日志时间。 对结构化解析进行字段名称修改、字段删除、字段类型修改等操作,都需要重新校验时间字段。 表10 参数配置表 参数 说明 示例 时间字段key名称 已提取字段的名称。单击下拉框选择已提取的字段,该字段为string或long类型。
参数名称 描述 类型 是否必选 x 原始字段 任意 是 e 自定义标准误差 double类型,取值为[0.0115, 0.26] 否 返回值类型:bigint类型 示例1:使用approx_distinct函数估算不重复的clientIp字段值,标准误差为2.3%。 表3 查询分析结果
区域定位:设置地图显示的区域范围,包含中国省级地图和世界地图两种。 省份 地图类型为中国省级地图,该字段为具体省份。例如浙江省 国家 地图类型为世界地图,该字段为具体国家。例如中国 数值列 选择用于展示数值的字段。 图表名称字号 设置图表名称的字号大小。 父主题: 使用统计图表将日志可视化
当关闭全文索引,仅开启字段索引,则long类型和float类型的字段名将不记入索引流量中,每个字段值占用的索引流量统一为8字节。如果是String类型,则日志字段名(Key)和字段值(Value)都将作为text类型存储,字段名和字段值都被计入索引流量中。使用字段索引,可降低索引流量费用。
ET和POST的日志。 字段搜索 配置字段索引后,您可以指定字段名称和字段值(key:value)进行搜索。根据字段索引中设置的数据类型,您可以进行多种类型的基础搜索和组合搜索。 value参数不可为空,通过搜索语句key:""匹配字段值为空的日志。 字段搜索和 not 运算符配
String 当字段type为"CRON"时取该字段。 最小长度:1 最大长度:1024 hour_of_day Integer 当字段type为"DAILY"或者"WEEKLY"时取该字段。 day_of_week Integer 当字段type为"WEEKLY"时取该字段(周日~周六)。
日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮,日志流结构化配置为VPC系统模板,索引配置时将所有VPC解析出来的字段打开快速分析按钮。配置结构化和索引后,才能对VPC日志进行SQL分析,并提供可视化图表。 自动为日志流添加标签:log_type=vpc_flow
168.0.39 密码(请根据实际填写) iplist.cfg中包含您的敏感信息,建议您使用完之后进行清理。 如果所有服务器的密码一致,iplist.cfg中只需列出IP,无需填写密码,在执行时输入此密码即可;如果某个IP密码与其他不一致,则需在此IP后填写其密码。 操作步骤 在已
场景二:使用e_set函数为日志空缺字段赋值 场景三:删除和重命名字段(e_drop_fields函数和e_rename函数) 场景四:转换日志参数类型(v函数、cn_int函数和dt_totimestamp函数) 场景五:使用default传参为日志不存在的字段填充默认值 场景六:使用e
参数。 图1 漏斗图 表1 漏斗图参数说明 参数 说明 系列名称 漏斗图的名称。 数值列 选择数值字段,某个字段对应的数值越大,在越上面。 隐藏图例 开启后,可以隐藏漏斗图上方的字段名显示。 父主题: 使用统计图表将日志可视化
annotations.results[0].eps_id 查询自定义字段$event.annotations.results[0].fields.xxx xxx表示原始日志的结构化字段和内置字段(hostIP、hostName等),日志字段长度最多1KB,超过1KB被截断丢弃。 SQL告警支持的变量
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
式暂不支持。 加工规则 通过原始日志中的account字段和OBS CSV文件中的account字段进行匹配,只有account字段的值完全相同,才能匹配成功。匹配成功后,返回OBS CSV文件中的nickname字段和字段值,与原始日志中的数据拼接,生成新的数据。 e_tabl
戳。 __time__ 否 String 自定义时间特性时间字段,字段值需要从日志结果中获取,毫秒级时间戳。若已开启云端结构化自定义时间功能,需要使用该字段和line_num字段共同进行上下文查询。 backwardsSize 否 Integer 指定起始日志往前(上文)的日志条数,取值范围
操作2 全局操作函数 否 全局操作函数或其组合。 返回结果 返回操作后日志。 函数示例 如果content字段的值为123,则先删除age字段和name字段,然后将content字段的值设置为ctx。 测试数据 { "content": 123, "age": 23, "name":
404, "body_length": 300 } 加工需求2:为所有status字段值为200,且request_method字段值为GET,且scheme字段值为https的日志事件添加一个新字段type,其值为normal。 加工规则: e_if(e_match_all("status"
数。 图1 数字图 表1 数字图参数说明 类别 参数 说明 查询分析设置 数值列 支持数字或字符串数据。 同比数据 选择待对比的字段,在图表中显示该字段对应的值。 主体设置 图表名称字号 设置图表名称的字号大小。 格式化 将数据按照指定格式进行显示。 数值字号 显示值的字号,取值范围为12px~80px。
基于日志字段的值分裂出多条日志,并且支持通过JMES提取字段后再进行分裂。 函数格式 e_split(字段名, sep=',', quote='"', lstrip=true, jmes=None, output=None) 分裂规则: 如果配置了jmes参数,则将日志字段的值转化
cfg中包含您的敏感信息,建议您使用完之后进行清理。 如果所有服务器的密码一致,iplist.cfg中只需列出IP地址,无需填写密码,在执行时输入此密码即可;如果某个IP密码与其他不一致,则需在此IP地址后填写其密码。 在已安装ICAgent的服务器上执行如下命令。 bash /op
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
