检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
返回附带新字段值的日志。 函数示例 示例1:使用默认分隔符=提取键值对信息。 测试数据 { "http_refer": "https://video.developer.aadoc.com/s?q=asd&a=1&b=2" } 如果测试数据为request_uri: a1=1&a2=&a3=3,
当valid字段的值为小写failed时,丢弃日志。 测试数据 { "valid":"failed" } 加工规则 e_if(op_eq(str_lower(v("valid")), "failed"), e_drop()) 加工结果:丢弃日志 示例4:多个条件按顺序操作。 测试数据 { "valid":"failed"
表示匹配到的第几个分组,默认None,表示第一个。 返回结果 返回提取的值。 函数示例 示例1:提取字段str中符合正则表达式的第一个值。 测试数据 { "str": "iZbp1a65x3r1vhpe94fi2qZ" } 加工规则 e_set("regex", regex_select(v("str")
示例1:将字段host重命名为client_hos。 测试数据 { "host": 1006 } 加工规则 e_rename("host","client_host") 加工结果 client_host: 1006 示例2:不存在字段时,不进行重命名。 测试数据 { "host": 1006 }
数据类型 是否必填 说明 value String 是 待解析的User-Agent字符串。 返回结果 返回JSON类型的数据集。 函数示例 测试数据 { "http_user_agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_4)
背景信息 集团公司经常采用多账号解决方案(LandingZone),不同的业务部门使用不同的账号,实现权限、资源等的隔离,提高账号的安全性。 集团公司的安全合规部门有统一收集日志的诉求,期望将不同账号下各个业务部门的关键日志集中存储和分析,汇聚到一个日志账号中,用于应对不同国家和地区的安全合规审计要求。
日志。例如,您可以将操作日志、访问日志等接入不同的日志流,查询日志时可以进入对应的日志流快速查看日志。支持按照业务需求对不同的日志流添加对应的标签,方便运维人员管理业务。 1个日志组中最多可以创建100个日志流,如果无法创建日志流,建议删除不再需要使用的日志流后重试,或者在新的日志组中创建日志流。
"”这是一个短信测试模板”", "sub_type" : "sms" } ], "type" : [ "" ] }, { "create_time" : 1702021411612, "desc" : "这是短信测试模式",
日志结构化解析方式:建议您打印的业务日志使用空格分割或者JSON格式,这样方便快速配置日志结构化解析规则。 日志可视化呈现: 您可以创建自定义的仪表盘,使用类SQL语法分析已经结构化处理好的业务日志。自定义的仪表盘中,您可以添加多个图表,也可以添加过滤器,使用LTS做业务分析,可以减少采购数据仓库,没有额外成本,上手更简单。
展示数据在不同地理区域上的分布情况。攻击IP地理分布等地理位置统计场景适用。 漏斗图 漏斗图适用于单流向单路径的业务流程,对各环节进行统计并用梯形面积表示某个环节业务量与上一个环节之间的差异。 统计图表操作说明 支持对图表进行新建、保存、另存为等操作。详细请参考表2。 表2 操作说明
日志的字段名。 返回结果 字段存在返回true,不存在返回false。 函数示例 判断日志是否存在content字段,存在则保留,不存在则丢弃。 测试数据 { "content": 123 } 加工规则 e_keep(e_has("content")) 加工结果 content: 123
云主机ECS-文本日志”。 选择日志流。 选择主机组。 采集配置,配置采集路径为/var/log/messages。 登录业务ecs验证。 当您的业务系统或者设备输出日志后,即可在LTS界面查看。登录业务ecs使用logger -n x.x.x.x -P 514 testremotelog命令发送syslog至汇聚服务器,x
字典的关键字只能是字符串。 函数示例 从高级参数配置中获取信息并赋值给local。高级参数配置中的Key为endpoint,Value为hangzhou。 测试数据 { "content": "1" } 加工规则 e_set("local", res_local('endpoint')) 加工结果
日志转储功能只能拷贝已有日志,不会删除日志。云日志服务LTS根据用户配置的日志存储时间定时清理日志文件,不会影响转储后的日志。 当前LTS支持以下表1,请根据您的业务场景进行日志转储服务选择。 表1 转储服务类型 转储服务类型 使用场景 对象存储服务 OBS 对象存储服务(Object Storage
如涉及处理不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的同意。 如涉及处理个人信息用于个性化推荐功能或大数据分析业务的,应告知并取得最终用户的授权同意情况下方可开展相关业务功能。 如涉及处理敏感个人信息前,应取得最终用户的单独同意。 如涉及跨境传输个人信息,需要按照国家网信部门会同
安装在自建IDC/第三方云厂商/跨华为云Region的ICAgent无法直接访问华为云管理面上报日志的网段,需要配置跳板机进行数据转发;当您在进行POC测试,或者日志流量并不大的情况下,可以使用跳板机的方案。对于大流量的日志场景,如果您希望在生产环境中去掉跳板机,请提交工单给华为云网络技术支持工程师帮您设计网络直通的方案。
显示“查询状态:结果精确”。 根据SQL查询返回的数据,依照业务需求选择不同图表类型,呈现查询结果。详细请参考使用统计图表将日志可视化。 对查询结果可执行如下操作: 单击“新建”,在弹出的“创建可视化图表”中,根据业务需求填写“图表名称”,开启“同时添加到仪表盘”,单击“确定”,可视化图表保存成功。
p_cidrmatch函数删除内网日志。 更多加工语法请参考DSL数据加工语法(邀测)。 在“测试数据”页签输入测试数据,参考如下:(以下示例仅供参考,请以实际上报的数据为准) 模拟测试时需要将srcaddr的值改为公网IP。 { "content": "1 5f679449
安装在自建IDC/第三方云厂商/跨华为云Region的ICAgent无法直接访问华为云管理面上报日志的网段,需要配置跳板机进行数据转发;当您在进行POC测试,或者日志流量并不大的情况下,可以使用跳板机的方案。对于大流量的日志场景,如果您希望在生产环境中去掉跳板机,请提交工单给华为云网络技术支持工程师帮您设计网络直通的方案。
环境。 首次使用ES时需要安装对应ES版本的python数据包,本次方案测试使用的elasticsearch为7.10.1版本。 pip install elasticsearch==7.10.1 方案测试使用的ES为华为云CSS服务创建的ES。 执行用来构造索引数据的pytho
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
