检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
背景信息 用户对采集到LTS的日志流有二次加工的诉求,目前使用函数加工有以下缺点: 用户有多条日志流需要转换成不同的日志流结构,一个函数只能转换一个日志流,使用不方便,有新增日志结构的时候就需要新增函数,功能繁琐,使用不够灵活。 函数加工需要使用函数工作流服务,且还需要独立收费,长期使用增加成本。
DN节点日志 操作系统messages日志 审计日志 数据仓库服务GaussDB(DWS)接入LTS - 16 ECS 弹性云服务器 全量日志(ICAgent采集文本日志) 云主机ECS文本日志接入LTS - 17 ELB 弹性负载均衡 7层访问日志(ELB) 弹性负载均衡 ELB接入LTS
果不超过100亿条。仅支持分析最近30天内的数据,30天以上的数据不支持SQL分析。如您有更大的使用需求,请提工单申请。 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query
系统服务列表中不存在ICAgent服务。 命令行工具下执行sc query icagent提示未找到。 可能原因 一般为杀毒软件,如360安全卫士等,拦截了ICAgent服务注册。 解决方法 检查是否有杀毒软件正在运行,如有,请执行下一步。 关闭杀毒软件后再进行ICAgent安装。详细请参考安装ICAgent。 父主题:
K8S事件不能重复配置,即一个K8S集群的K8S事件,只能配置接入到一个日志流。 当数据源类型选择容器标准输出和容器文件路径时,需要设置ServiceStage匹配规则,在下拉框选择对应组件。 开启结构化解析配置,详细操作请参考ICAgent结构化解析规则说明。 支持组合解析,一个日志流的每个采集配置可以配置不同的结构化解析规则。
高日志数据的可读性、可搜索性和查询效率。 解析方式介绍 云日志服务支持两种日志结构化解析方式:云端结构化解析和ICAgent结构化解析,且一个日志流只能配置一种结构化方式,例如选择云端结构化解析后,不能再选择ICAgent结构化解析,需要删除后,才能重新选择。更多信息请参考图1。
高日志数据的可读性、可搜索性和查询效率。 解析方式介绍 云日志服务支持两种日志结构化解析方式:云端结构化解析和ICAgent结构化解析,且一个日志流只能配置一种结构化方式,例如选择云端结构化解析后,不能再选择ICAgent结构化解析,需要删除后,才能重新选择。更多信息请参考图1。
按日志大小轮转:在进行轮转日志时,以日志大小为标准,当日志的大小满足设定的大小时,则进行日志轮转。一般应用程序的日志多使用日志大小进行轮转。 在使用日志轮转时,有以下建议: 如何轮转日志: ICAgent不会对您的日志轮转,建议在应用程序中,使用成熟的软件包自定义日志轮转规则。例如:Java的logback、log
不会再执行后续操作。 支持和其他函数组合使用。 e_if 条件与操作组合。 满足条件则进行对应操作,不满足条件则不进行对应操作,直接进行下一个条件判断。 对于某一条日志,如果其中某一操作删除了日志,则不会再执行后续操作。 e_if( e_has("a"), e_output("target-a")
选择业务需要的企业项目,默认为default。也可单击“查看企业项目”,在企业项目管理页面查看全部企业项目。 说明: 企业项目需要开通后才能使用,请参考如何开通企业项目。 支持将该企业项目资源迁出,详细请参考迁出企业项目资源。 日志存储 若关闭日志存储,则无法开启日志存储时间。 开启“日志存储
提取字符串动态键值对 本文档介绍如何使用不同方案提取字符串键值对。 常用方案比较 字符串动态键值对提取分为关键字提取、值提取、关键字加工和值加工,常用方案为采用e_kv函数、e_kv_delimit函数和e_regex函数等。不同提取场景的三种方案如下: 方案 关键字提取 值提取
"header_length": 100, "body_length": 300 } ] 加工需求1:为所有status字段值为200的日志事件,添加一个新字段type,其值为normal。 加工规则: e_if(e_match("status", "200"), e_set("type",
当日志组下有多个日志流时,支持选择多个日志流,即可批量创建关键词告警。 查询时间:指定语句的查询周期。查询语句的时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询语句的时间范围为8:00-9:00。 如果查询时间单位为分钟,则取值范围是1-60;
x:参数值为varchar类型。 delimeter:分隔符。 part:指定要返回字段的索引值。 split_to_map split_to_map函数用于使用指定的第一个分隔符拆分字符串,然后再使用指定的第二个分隔符进行第二次拆分。 split_to_map(x, delimiter01, delimiter02)
如果所有的参数包含了数字和字符串的混合,参数都被解释为字符串。 如果所有的参数是整型数字,参数都被解释为长整型。 如果所有的参数是数值且至少一个参数是double,则参数都被解释为double。 语法格式 GREATEST([expr1, ...])/ LEAST([expr1,
results[0].resource_id 说明: 只支持添加首次创建的日志组/日志流原始名称,不支持添加修改后的日志组/日志流名称。 0代表第一个图表,1代表第二个图表,以此类推。 图表0的查询语句:$event.annotations.results[0].sql 图表0的查询时间:$event
范围内已结构化的日志进行动态统计,并将统计结果动态呈现到aom的Prometheus实例,操作简单且功能强大。 创建的每个指标规则只能生成一个结果,多个结果则需要创建多条指标规则。 前提条件 已在应用运维管理控制台创建Prometheus实例。 已将日志接入到LTS。 已配置结构
查看认证返回码不是200,则检查ICAgent安装输入的AK/SK是否正确。若不正确,请执行下一步。 请获取正确的AK/SK后重新安装ICAgent。请参考如何获取AK/SK?。 父主题: 主机管理
如果字段中既有数字也有字符串,则函数将它们作为字符串进行比较。 如果所有字段都是整数,则函数将它们作为LONG值进行比较。 如果所有字段都是数字且至少有一个是FLOAT值,则函数将它们作为FLOAT值进行比较。 语法格式 SELECT GREATEST(fieldname1,fieldname2)
会导致通知失败。 建议根据通知方式的限制合理配置内容模板,避免内容超长导致通知失败。各个通知方式的限制如下(中文、英文、数字或标点符号都算一个字符): 短信 具体限制请短信发送限制。 语音 通知内容限制为256个字符。 邮件 通知内容限制为5 KB。 钉钉 通知内容限制为5 KB。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
