检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您在LTS上经常会执行日志接入、日志告警、日志转储等配置操作。有些操作是需要重复多次配置,但目前LTS还没有提供控制台批量操作功能,这时您可以通过Python脚本结合LTS API接口实现自定义的批量操作。 使用场景 当用户创建了1000条日志转储的OBS规则,但转储时文件时区全部选择(UTC)
聚合函数可用在任何查询的SELECT子句中。您可以使用如AGG(expr) FILTER(WHERE whereExpr)的语法在聚合之前进行过滤,即聚合函数只会聚合满足过滤条件的列。 在同一个SQL查询语句中,根据过滤条件的不同,对应的聚合函数所呈现的结果会不同。 只有COUNT函数可以跟DISTINCT搭配使用。
active*test") # active*test中仅包含星号(*),可以不使用双引号("")包裹。 e_search("status: active?good") # active?good中仅包含半角问号(?),可以不使用双引号("")包裹。 e_search("status==
日志告警限制 本文介绍云日志服务告警的限制。 表1 告警限制说明 类别 限制项 说明 备注 告警监控 告警规则数量 您在1个华为账号下最多可创建200个告警。 如您有更大的使用需求,请提交工单申请。 搜索和分析条件组合个数 关键词搜索为1个,SQL分析个数为1-3个。 不涉及。 查询时间范围
只支持输入英文、数字、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为1-64个字符。 设置tag字段 设置结构化配置时,可以对日志维度信息进行tag字段设置,设置完成后可以在可视化界面对设置字段进行SQL查询。 在字段提取步骤中,选择“tag字段”页签,单击“添加字段”。 图1 添加tag字段
只支持输入英文、数字、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为1-64个字符。 设置tag字段 设置结构化配置时,可以对日志维度信息进行tag字段设置,设置完成后可以在可视化界面对设置字段进行SQL查询。 在字段提取步骤中,选择“tag字段”页签,单击“添加字段”。 图1 添加tag字段
组合自定义正则表达式和默认字符集过滤 完全自定义 自定义 自定义 大部分键值对的提取使用e_kv函数并配置特定参数就可以很好地满足,尤其是带括字符和反斜杠需要提取并转义时。其他复杂或高级的场景可以用e_regex函数来提取。部分特定场景下的键值对使用e_kv_delimit函数会更简单。 关键字提取
日志上报LTS后,支持通过SQL分析语法搜索关键日志数据,并将查询结果通过统计图表的方式进行可视化展示,帮助用户更容易地理解日志数据之间的变化。用户还可以将图表分析结果保存到仪表盘,进行长期监控。 限制说明 目前此功能支持全部用户使用的局点有:华南-广州、华北-北京四、华北-乌兰察布二零一、
但不能含字母。 自定义轮转规则:如果您的日志文件轮转后命名规则不符合上述的最佳实践建议,可能导致轮转文件被重复采集,您可以通过自定义轮转规则来规避此问题。您可以为每条日志采集路径添加自定义轮转规则,基于正则表达式匹配轮转后的文件名,匹配成功的文件名会被识别为日志轮转文件,不会被重
"sas-log-dns" , "test": "aa" , "__topic__": "aegis-log-network", "test":"ecs" , "__topic__": "local-dns" , "test":"sls" , "__topic__": "aegis-log-login"
log_group_id 是 String 日志组id。 log_stream_ids 是 Array of strings 日志流id列表, 可以指定一个或多个日志流进行obs周期性转储 obs_bucket_name 是 String obs 桶名称。 type 是 String 周期性转储
对值、求余等功能,具体请参考表1。 在数学运算中,如果表达式里涉及的操作数皆为整数,那么SQL将会采用整数运算,否则便会切换到浮点运算。您可以将其中一个操作数转换为FLOAT类型来强制进行切换,运行时SQL会将大多数表达式中的32位浮点数扩展到64位。 语法格式 SELECT ABS(fieldname1)
host_group_id 是 String 主机组ID host_group_name 否 String 主机组名称。不修改主机组名称时不可以传入。 host_id_list 否 Array of strings 主机ID列表。主机类型必须与主机组类型一致 host_group_tag
e 否 String 告警行动规则名称 说明: alarm_action_rule_name和notification_save_rule可以选填一个,如果都填,优先选择alarm_action_rule_name 表4 KeywordsRequest 参数 是否必选 参数类型 描述
e 否 String 告警行动规则名称 说明: alarm_action_rule_name和notification_save_rule可以选填一个,如果都填,优先选择alarm_action_rule_name 表4 SqlRequest 参数 是否必选 参数类型 描述 is
DISTINCT 返回去重后的结果。 SELECT DISTINCT visitCount FROM 表示当前查询数据的源数据集, 可以是当前日志流的结构化数据, 也可以是当前日志流结构化数据的一个子集。 不加FROM的时候默认从当前日志流结构化数据查询,如果查询的数据源是一个子集, 则需要自己编写子查询语句。
源字段名。如果字段不存在,则不进行任何操作。 目标字段列表 任意 是 字段值经过分隔符分隔后的每个值对应的字段名。可以是字符串的列表,例如:["error", "message", "result"]。 当字段名中不包含逗号时,也可以直接用逗号作为分隔字符,例如:"error, message, result"。
Bucket中获取文件内容,并支持定期刷新。支持和其他函数组合使用。 建议日志服务Project和OBS Bucket处于同一地域,使用华为云内网获取数据。 函数格式 res_obs_file(endpoint,bucket,file) 参数说明 参数名称 数据类型 是否必填 说明
ceil函数 使用时间单位对时间戳进行四舍五入,单位可以是SECOND、MINUTE、 HOUR、 DAY、 WEEK、 MONTH、 QUARTER或 YEAR。 floor函数 使用时间单位对时间戳进行向下舍入,单位可以是SECOND、MINUTE、 HOUR、 DAY、 WEEK、
weeks(s)=None, weekday=None) year(s)、month(s)、day(s)等参数的后面都带有s,表示这些参数可以有两种形式,即year和years,month和months等。以year和years为例,如果参数传递的是year,表示在年份粒度上覆盖
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
