检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
abcdefg123 took 查询执行的总时间,以人类可读的格式(如 "10.5s")表示。 10.5s took_millis 查询执行的总时间,以毫秒为单位。 10500 source 触发慢查询的原始查询语句(JSON格式)。 {"query":{"match_all":{}}}\n
查询可能也会因此得出不同的聚合结果。如果您希望执行同一个查询时都能得出同样的结果,建议使用ROUND函数来消除多次查询之间的不一致。 语法格式 SELECT COUNT(fieldname1) 聚合函数语句 表1 聚合函数语句 语句 说明 示例 COUNT(*) 统计行数。 SELECT
error: 11 表1 错误日志字段说明 字段 说明 2023-03-29T14:30:15.123456Z 日志条目的时间戳,采用ISO 8601格式,包含时区信息(Z表示UTC时间)。 0 线程ID,对于错误日志,这通常是0,表示这是一个全局消息,而不是与特定客户端连接相关。 [ERROR]
集路径后在节点上进行路径匹配,将节点上对应的文件加入监控任务中,通过轮询和inotify感知目标日志文件的变化。 ICAgent侧发现文件变更后,读取文件的内容,分块发送到处理模块,进行单行、多行、结构化、拆分、添加标签等日志处理动作,再将处理好的任务提交到发送任务池后,上报到LTS。
单IP函数聚合查询的数据量上限为500万,查询的数据超出上限可能导致查询超时。 功能描述 IP函数是分析目标IP地址所属的国家、省份、城市及对应的网络运营商。 语法格式 SELECT count(*) AS PV, ip_to_province(client_ip) AS province GROUP BY
+01:00) 分行模式 日志格式选择多行日志时,需要选择分行模式,分行模式选择“日志时间”时,是以时间通配符来划分多行日志;当选择“正则模式”时,则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。
方式进行查询,并且可以长期存储。 采集到日志数据按照结构化和非结构化进行分析。结构化日志是通过规则将日志流中的日志进行处理,提取出来有固定格式或者相似度高的日志内容做结构化的分类。这样就可以采用SQL的语法进行日志的查询。 海量日志存储搜索 对采集的日志数据,可以通过关键字查询、
e_drop()) e_if(e_not_has("dstaddr"), e_drop()) # 如果srcaddr和dstaddr不符合IP地址格式,丢弃。 e_if(op_not(e_match("srcaddr", r'^(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]
Integer 日志转储创建时间 log_storage_format String 日志转储格式。只支持"RAW", "JSON"。RAW是指原始日志格式,JSON是指JSON日志格式。OBS转储和DIS转储支持JSON和RAW,DMS转储仅支持RAW log_transfer_detail
SQL SPLIT函数 功能描述 SPLIT函数用于通过指定的分隔符拆分字符串,并返回拆分后的子串集合。 语法格式 SELECT split_to_map(x, delimiter01, delimiter02) SPLIT函数语句 语句 说明 示例 参数 split split
time:"09:00:00" ipv6:"2024:AC8:2ac::d09" "" 使用双引号("")包裹一个语法关键词,可以将该语法关键词转换成普通字符,例如:"and"表示搜索包含and的日志,此处的and不代表运算符。 \ 转义符号,用于转义双引号(""),转义后的引号表示符
0001 %@ is null. 参数%@为空。 请设置非空的参数后重试。 LTS.0002 %@ is invalid. 参数%@的类型、格式无效。 请设置有效的参数后重试。 LTS.0003 The length of %@ exceeds the maximum value of
f32。 - 状态变化 记录任务或作业的状态变化。 如switched from RUNNING to FINISHED表示任务从运行状态切换到完成状态。 错误信息 如果日志级别为ERROR,则可能包含有关错误的详细信息。 如 Job 83529a6b73e4a3f7046f695a27f67f32
至LTS服务,详细操作请参考云主机ECS文本日志接入LTS。 Kafka日志示例以及字段含义 由于Kafka本身并不直接提供系统日志的详细格式或字段定义,因为这部分可能会根据使用的日志框架而有所不同,例如 Log4j,所以本文提供一个基于典型日志框架(如 Log4j)的示例,并对其中的一些通用字段进行解析。
harset=UTF-8。 缺省值:None 最小长度:30 最大长度:30 Content-Encoding 否 String 日志压缩格式 枚举值: GZIP SNAPPY gzip snappy 表3 请求Body参数 参数 是否必选 参数类型 描述 contents 是 Array
参数 是否必选 参数类型 描述 log_storage_format 是 String 日志转储格式。只支持"RAW", "JSON"。RAW是指原始日志格式,JSON是指JSON日志格式。OBS转储和DIS转储支持JSON和RAW,DMS转储仅支持RAW log_transfer_status
储只支持"realTime" log_storage_format 是 String 日志转储格式。只支持"RAW", "JSON"。RAW是指原始日志格式,JSON是指JSON日志格式。OBS转储和DIS转储支持JSON和RAW,DMS转储仅支持RAW。 log_transfer_status
记录用户的登录、防火墙事件、apache或者nginx access日志等。 Syslog主要是基于RFC5424和RFC3164定义相关格式规范,RFC3164协议是2001年发布的,RFC5424协议是2009年发布的升级版本。因为新版兼容旧版,且新版本解决了很多问题,因此推
"Id card is 111222190002309999" } 场景7:网址脱敏 对日志内容中的网址做脱敏处理,并且将脱敏的数据转成明文格式,可运用Base64编码解码函数,对网址进行转码。 原始日志 { "content":"https://www.huaweicloud
String obs 桶名称。 type 是 String 周期性转储, 必须填 cycle。 storage_format 是 String 转储格式 RAW/JSON, 默认为 RAW。 最小长度:3 最大长度:4 switch_on 否 Boolean 是否开启转储 true/false
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
