检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
建的原始名称。 参考示例1:出现关键字即触发告警 如果您希望日志中出现目标关键字时,就能触发告警,则您可以参考本示例设置查询语句和关键词告警规则。以下示例仅供参考,请以实际业务为准。 设置的关键字一定是日志流存在的关键字,例如Error关键字。 图1 查询结果 查询语句:选择查询
固定格式或者相似度高的日志内容做结构化的分类。这样就可以采用SQL的语法进行日志的查询。 海量日志存储搜索 对采集的日志数据,可以通过关键字查询、模糊查询等方式简单快速地进行查询,支持百亿日志秒级搜索,千亿日志迭代搜索。 SQL统计和可视化图表 LTS提供多种开箱即用的日志仪表盘模板,用户接入日志后即可快速分析。
SELECT CAST(fieldname1 AS VARCHAR) AS fieldname1_str 其他函数语句 表1 其他函数语句 关键字 说明 示例 CAST(value AS TYPE) 转换数据类型。只支持转换为VARCHAR、 FLOAT。 SELECT fieldname1
ction次数分布、总分钟Action次数、Action分布、流日志记录状态分布、Action次数的源地址运行商分布、Top5字节数的源地址、Top5字节数的目标地址、Top5包数的目标端口、各协议的每分钟包数、弹性网卡。 前提条件 已采集VPC日志,详情请参见虚拟私有云VPC接入LTS。
LTS支持日志告警能力,包括关键词告警和SQL告警。 关键词告警:对日志流中的日志数据进行关键词统计,通过设置告警规则,监控日志中的关键词,通过在一定时间段内,统计日志中关键字出现的次数,实时监控服务运行状态。 SQL告警:支持将日志数据进行结构化,通过配置SQL告警规则,定时查询结构化数据,当且仅当条件表达式返回
支持将快速分析生成查询语句。 单击快速分析的某一行分析结果,可自动生成查询语句,查询日志并生成新的快速分析。 快速分析的字段长度最大为2000字节。 快速分析字段分布统计展示前100条数据。 前提条件 快速分析的对象为结构化日志中提取的关键字段,创建快速分析前请先对原始日志进行结构化配置。
示例 全文查询 配置全文索引后,日志服务根据您设置的分词符将整条日志拆分成多个词。您可以指定关键字(字段名、字段值)和查询规则进行查询。 hello and world表示查询同时包含关键字hello和world的日志。 字段查询 配置字段索引后,您可以指定字段名称和字段值(Key:
STRING_FORMAT(str1, '%s') WHERE str1 IS NOT NUll LENGTH(expr) 返回字符串的长度,即字符串中UTF-16字符个数。 SELECT LENGTH(str1) WHERE str1 IS NOT NUll LOWER(expr) 将字符串转换为小写形式。
e_table_map 与目标表格进行映射,根据输入的字段名称返回字段值。支持和其他函数组合使用。 搜索映射 e_search_dict_map 对关键字(查询字符串)以及其匹配的值的字典数据进行映射。支持和其他函数组合使用。 e_search_table_map 对某列(查询字符串)以及其匹配的值的表格数据进行映射。
日志查询与分析:对采集的日志数据,可以通过关键字查询、模糊查询等方式简单快速地进行查询,适用于日志实时数据分析、安全诊断与分析、运营与客服系统等。 日志监控与告警:支持对存储在云日志服务中的日志数据进行关键词统计,通过在一定时间段内日志中关键字出现次数,实时监控服务运行状态。 日志转储
击“确定”即可删除。 说明: 删除告警行动规则前需要先删除该行动规则绑定的告警规则。 搜索告警行动规则 在右上角的搜索框中输入规则名称关键字,单击后显示匹配对象。 父主题: 配置日志告警行动规则
请确认要删除的日志流是否存在 400 LTS.0301 '*' and '?' not allowed as first character *和?放在关键字中间或末尾 请根据错误信息检查Keywords字段。 400 LTS.2001 Failed to create alarm rule 创建错误
析,但是可以通过关键词查询。 不涉及。 查询结果排序 默认按照秒级时间从最新开始展示。 不涉及。 模糊查询 在查询语句单个词长度小于255字符 星号(*)或问号(?)不能用在词的开头。 long数据类型和double数据类型不支持使用星号(*)或问号(?)进行模糊查询 不涉及。 搜索时间范围
日志组ID、日志流ID 缺省值:None group_id 是 String 租户想查询的日志流所在的日志组的groupid,一般为36位字符串。 缺省值:None topic_id 是 String 日志流id 表2 Query参数 参数 是否必选 参数类型 描述 search_type
单击“确定”,快速分析创建完成。 表示String类型字段。 表示float类型字段。 表示long类型字段。 快速分析的字段长度最大为2000字节。 快速分析字段展示前100条数据。 支持显示当前字段的采样数量。 单击即可查看一键生成的图表展示,string类型的字段支持展示字段分布
普通映射函数e_dict_map。 状态码 文本 200 成功 300 跳转 400 请求错误 500 服务器错误 搜索映射函数的映射关键字是查询字符串,支持正则表达式匹配、完全匹配、模糊匹配等形式。搜索映射函数包括e_search_dict_map函数和e_search_tab
true "true" 只支持true、false(小写)这两种布尔类型。 {1: 2, 3: 4} "{1: 2, 3: 4}" 字典的关键字只能是字符串。 函数示例 从高级参数配置中获取信息并赋值给local。高级参数配置中的Key为endpoint,Value为hangzhou。
自定义时间段结束时间(时间戳) time_range 否 String 非自定义时间段时间范围(单位为分钟) search 否 String 关键字检索条件 alarm_level_ids 否 Array of strings 告警级别("Critical","Major","Minor"
round:保留N位小数。 ceil:向上取整。 返回结果 返回按照特定粒度获取的两个值的差异值。 函数示例 示例1:对time1和time2字段的值,按照秒计算差异值。 测试数据 { "time1": "2018-10-1 10:10:10", "time2": "2018-10-1
方案流程图 你可以购买Linux云主机,配置为Syslog汇聚服务器,用于接收其他设备发送的日志数据;Syslog服务器默认接收日志大小为1024字节,超过会截断。 单台Syslog服务器处理日志能力为10MB/s,如果您的日志量较大,或者希望可靠性更高,可以购买多台ECS配置为Sysl
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
