ENetrebin (обсуждение | вклад) Нет описания правки |
Нет описания правки |
||
(не показано 5 промежуточных версий 1 участника) | |||
Строка 1: | Строка 1: | ||
Просмотрщик журналов | '''''[[Применение АппОптима]] / [[Мониторинг логов]] / [[Мониторинг логов v1]] / Средство просмотра логов v1''''' | ||
Просмотрщик журналов АппОптима включен в стоимость хост-единицы бесплатно. АппОптима получает доступ и анализирует все журналы, хранящиеся на отслеживаемых дисках хоста. Чтобы получить доступ к средству просмотра журналов, в меню АппОптима перейдите в раздел Журналы и выберите Проанализировать файлы журналов. | |||
С помощью средства просмотра журналов можно получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (хранения). | С помощью средства просмотра журналов можно получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (хранения). | ||
Строка 26: | Строка 28: | ||
== Поиск текстовых шаблонов в файлах журналов == | == Поиск текстовых шаблонов в файлах журналов == | ||
Для поиска текстового шаблона в файлах журналов выберите журналы с точки зрения групп узлов или процессов, затем выполните поиск текстового шаблона с помощью языка поисковых запросов | Для поиска текстового шаблона в файлах журналов выберите журналы с точки зрения групп узлов или процессов, затем выполните поиск текстового шаблона с помощью языка поисковых запросов АппОптима (или оставьте поле запроса пустым, чтобы вернуть все результаты). | ||
Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов | Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов АппОптима обеспечивает полную гибкость поиска по важному содержимому журнала процессов. | ||
''"Покажи мне все"'' | ''"Покажи мне все"'' | ||
Чтобы вернуть все результаты, оставьте поле запроса пустым. | Чтобы вернуть все результаты, оставьте поле запроса пустым. | ||
КатегорияОписаниеПример | |||
Односложные термины | |||
Поиск по одному слову поможет вам найти отдельные вхождения слов. Поиск не чувствителен к регистру. | |||
Искомые слова в файлах журнала определяются как строки между любыми не алфавитно-цифровыми или пробелами. Например, запрос строки <code>error</code>соответствует обоим <code>abc/error/def</code>и <code>error.html</code> | |||
<code>error</code> | |||
Фразы | |||
Фразы-это группы слов, заключенные в двойные кавычки. Фразы обрабатываются так же,как односложные термины в запросах. Если поисковая фраза состоит только из буквенно-цифровых символов <code>[a-zA-Z0-9]</code>, то запрос фактически представляет собой односложный запрос, поэтому двойные кавычки <code>" "</code>можно опустить. | |||
Вы НЕ можете включать какие-либо логические операторы, подстановочные знаки или группировки (см. Ниже) внутри цитируемых фраз. Любой символ, заключенный в кавычки, ищется буквально. Например, <code>"what?"</code>возвращает совпадение для<code>what?</code>, но не для <code>whats</code>. | |||
<code>"memory fault"</code> | |||
<code>"cat and dog"</code> | |||
Логические операторы | |||
Операторы могут быть записаны в верхнем или нижнем регистре: <code>AND</code>, <code>&&</code>запись журнала совпадает, когда она содержит обе окружающие строки. <code>OR</code>Запись <code>||</code>журнала совпадает , если она содержит хотя бы одну из окружающих строк. <code>NOT</code>Запись журнала совпадает, когда она НЕ содержит строки после <code>NOT</code>. Логический оператор <code>AND</code>автоматически вставляется между односложными терминами, которые не заключены в круглые скобки. Например, <code>test failed</code>равно <code>test AND failed</code>. | |||
Приоритет: <code>NOT</code>, <code>AND</code>, <code>OR</code> | |||
<code>test AND failed</code> | |||
<code>error OR failure</code> | |||
<code>NOT passed</code> | |||
Группировка Круглые скобки <code>( )</code>можно использовать для группировки предложений в подзапросы. | |||
<code>(black OR red) AND label</code> | |||
Подстановочные знаки | |||
Подстановочные знаки могут использоваться для представления переменной или неизвестных буквенно-цифровых символов в терминах поиска. Звездочка <code>*</code>может использоваться для представления любой строки, состоящей из буквенно-цифровых символов. Знак вопроса <code>?</code>может использоваться для представления любого отдельного буквенно-цифрового символа. | |||
Примечание: Односимвольные подстановочные запросы <code>*</code>или <code>?</code>не допускаются. | |||
<code>Start*</code> | |||
<code>*down</code> | |||
<code>ex*ed</code> | |||
<code>HTTP50?</code> | |||
<code>Imp???ible</code> | |||
Специальные символы | |||
Специальные символы должны быть экранированы <code>\</code>(обратная косая черта), а весь запрос должен быть заключен в <code>""</code>(двойные кавычки). Например, для поиска следующих записей журнала: <code>status\":502,\"statusText</code>, в вашем запросе вы должны избегать <code>\"</code>двойных кавычек и. Кроме того, вы должны заключить все в двойные кавычки. | |||
<code>"status\\\":502,\\\"statusText"</code> | |||
==== Примеры запросов ==== | ==== Примеры запросов ==== | ||
Строка 80: | Строка 130: | ||
Пользовательские столбцы могут применяться только к централизованно хранящимся журналам. | Пользовательские столбцы могут применяться только к централизованно хранящимся журналам. | ||
Вы можете добавить, скрыть или удалить пользовательский столбец на дисплее журнала. Имя каждого столбца должно быть уникальным. Не используйте имя любого автоматически обнаруженного столбца и не повторяйте пользовательское имя столбца, которое вы уже использовали. | |||
Пример данных, которые соответствуют целочисленному типу столбца и будут извлечены как значение в определенном столбце для записи журнала, в которой он был сопоставлен: | |||
<"1234" | |||
"+1234" | |||
"-1234"</code> | |||
Пример данных, которые не соответствуют целочисленному типу столбца. | |||
Следующие данные журнала не будут перечислены в качестве значения в определенном столбце, если вы используете тип столбца INTEGER: | |||
<"" | |||
"123L" | |||
"1_234" | |||
"1 234" | |||
"0x123" | |||
"1234567890123456789012"</code> | |||
НОМЕР | |||
Потенциально извлеченное значение: | |||
* Может содержать символы <code>+</code>, <code>-</code>, <code>.</code>, <code>e</code>, <code>E</code>, и любую цифру <code>0 - 9</code> между ними. | |||
* Должен представлять десятичное число в обычной или научной нотации <code>123E456</code>. | |||
Пример данных, которые соответствуют типу столбца NUMBER и будут извлечены как значение в определенном столбце для записи журнала, в которой он был сопоставлен: | |||
<"123" | |||
"123." | |||
".123" | |||
"123.4" | |||
"123.4e12" | |||
"123.4E56" | |||
"+123.4e+12" | |||
"-123.4e-12"</code> | |||
Пример данных, которые не соответствуют типу столбца NUMBER. | |||
Следующие данные журнала не будут перечислены в качестве значения в определенном столбце, если вы используете тип столбца NUMBER: | |||
<"" | |||
"." | |||
"123f" | |||
"123,4" | |||
"123e" | |||
"123 e4" | |||
"123e4.5" | |||
"123.4e99" | |||
"0x12.2P2"</code> | |||
Объявления нескольких столбцов | |||
Вы можете определить несколько столбцов одновременно, разделив каждое объявление столбца <code>,</code>запятой. | |||
Например: <code>"prefix1%{INTEGER:myColumn1}suffix1","prefix2%{INTEGER:myColumn2}suffix2"</code> | |||
СТРОКА | |||
Все символы, найденные между <code>val_suff</code>и<code>val_suff</code>, будут обрабатываться и извлекаться как строковое значение в определенном столбце. | |||
ЛОГИЧЕСКОЕ | |||
ЗНАЧЕНИЕ Все символы, найденные между <code>val_suff</code>и<code>val_suff</code>, будут обрабатываться и сопоставляться как логическое значение в записи журнала (<code>true</code> или <code>false</code>). | |||
=== Примеры извлечения полей === | |||
Следующий пример иллюстрирует поведение механизма извлечения, когда в определении столбца используются определенные значения. Выходной столбец представляет значение для записи журнала во вновь определенном <code>myColumn</code>столбце. | |||
{| class="wikitable" | |||
!Запись в журнал | |||
!Префикс | |||
!Суффикс | |||
!Тип столбца | |||
!Определение столбца | |||
!Вывод | |||
|- | |||
|pref123suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
|<code>123L</code> | |||
|- | |||
|pref123suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>NUMBER</code> | |||
|<code>"pref%{NUMBER:myColumn}suff"</code> | |||
|<code>123.0f</code> | |||
|- | |||
|pref123suff pref456suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
|<code>123L</code> | |||
|- | |||
|некоторый текст | |||
, охватывающий несколько | |||
строк текста pref123suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
|<code>123L</code> | |||
|- | |||
| | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
| - | |||
|- | |||
|pref123456"" | |||
|<code>pref</code> | |||
|<code>""</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}\"\""</code>1 | |||
|<code>123456L</code> | |||
|- | |||
|pref123456 | |||
|<code>pref</code> | |||
|<code>456</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}456"</code> | |||
|<code>123L</code> | |||
|- | |||
|pref123suff"" | |||
|<code>pref</code> | |||
|<code>""</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}\"\""</code>1 | |||
| - | |||
|- | |||
|Pref123suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
| - | |||
|- | |||
|pref 123 suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
| - | |||
|- | |||
|pref | |||
pref123suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
| - | |||
|- | |||
|abc123def | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>INTEGER</code> | |||
|<code>"pref%{INTEGER:myColumn}suff"</code> | |||
| - | |||
|- | |||
|pref-abc-suff | |||
|<code>pref</code> | |||
|<code>suff</code> | |||
|<code>STRING</code> | |||
|<code>"pref%{STRING:myColumn}suff"</code> | |||
|<code>-abc-</code> | |||
|- | |||
|pref:true, | |||
|<code>pref:</code> | |||
|<code>,</code> | |||
|<code>BOOLEAN</code> | |||
|<code>"pref:%{BOOLEAN:myColumn}\,"</code>1 | |||
|<code>true</code> | |||
|} | |||
1 | |||
Если вы используете какие-либо специальные символы (<code>"</code>, <code>%</code>, <code>,</code>, <code>\</code>) в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты (<code>\</code>). | |||
=== Фильтр значений столбцов === | |||
Фильтр только для выполнения запроса | |||
Этот фильтр можно применять только для выполнения результатов запроса. Он не применяется для создания метрики. | |||
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены (<code>_Source</code>, <code>_Timestamp</code>, <code>_Content</code>). Примените фильтр ко всем вручную и автоматически проанализированным столбцам (включая столбцы с извлеченными значениями в расширенных параметрах). Имена столбцов и значения, используемые в фильтре, чувствительны к регистру. | |||
Фильтр только для сохраненных журналов | |||
Этот фильтр может применяться только к централизованно хранящимся журналам. | |||
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены (<code>_Source</code>, <code>_Timestamp</code>, <code>_Content</code>). Примените фильтр ко всем столбцам, анализируемым вручную и автоматически. Имена столбцов и значения, используемые в фильтре, чувствительны к регистру. | |||
Каждый столбец содержит значение определенного типа: string, number, integer или Boolean true/false. Синтаксис фильтра может меняться в зависимости от типа значения. Например, если столбец является числовым типом и вы назначаете другой тип значения (string, decimal или true/false) в своем фильтре, вы создадите ошибку синтаксического анализа. | |||
Имена столбцов, содержащие специальные символы (включая пробелы), должны быть заключены в обратные метки. | |||
Например: | |||
<code>`integer Column # 2` = 20</code> | |||
Отфильтрованные значения, содержащие кавычки, должны быть заключены в двойные кавычки. | |||
Например, значение <code>path "test" error</code>должно быть введено в фильтр как: | |||
<code>expath = "path ""test"" error"</code> | |||
* Значения столбцов, в которых сумма имени столбца и длины значения превышает 8191 символ, сокращаются с помощью многоточия. | |||
Закладки | |||
Недопустимый запрос фильтра столбцов не будет применен к уже сохраненным или общим закладкам. | |||
КатегорияОписаниеПримерЛогическоеЛогическое значение. Подстановочные знаки не принимаются для логических значений (<code>true</code> или <code>false</code>). | |||
<code>columnName = false</code> | |||
<code>columnName = true</code> | |||
Номер | |||
Числовое значение; может быть целым или десятичным. Поддерживается только <code>.</code>(точка) с плавающей запятой, и числа должны быть представлены без пробелов или других разделителей. | |||
Диапазон номеров для доступных типов: | |||
* целое число [-9,223,372,036,854,775,808 до 9,223,372,036,854,775,807] | |||
* десятичная дробь [±3.40282347 E+38F] (6-7 значащих десятичных цифр) | |||
Подстановочные знаки не принимаются для числового типа. | |||
<code>columnName = 5</code> | |||
<code>columnName = 5.005</code> | |||
Фраза Группа слов, окруженных двойными кавычками. Обрабатывается в поиске как одно слово. Внутри скобок принимаются подстановочные знаки. | |||
<code>columnName = "memory fault"</code> | |||
<code>columnName = "cat and dog"</code> | |||
Подстановочный знак | |||
Заменяет часть одного слова термина. Возможные специальные символы: | |||
* <code>?</code> – представляет один символ | |||
* <code>*</code> – представляет 0 (ноль) или более символов | |||
Подстановочные знаки не принимаются для чисел и логических операторов. | |||
<code>columnName = "INF*"</code> | |||
<code>columnName = "WA?NING"</code> | |||
<code>columnName = "?INF*"</code> | |||
<code>columnName = "* and *"</code> | |||
Оператор | |||
И - окружающие термины должны существовать | |||
ИЛИ - должен существовать один из окружающих терминов | |||
НЕ преуспевающий термин или фраза не должны существовать | |||
<code>columnName-A = "test" AND columnName-B < 200</code> | |||
<code>columnName-A = true OR columnName-B > 50</code> | |||
<code>NOT columnName-B = 200</code> | |||
Сравнение | |||
> (больше) | |||
< (меньше) | |||
>= (больше или равно) | |||
<= (меньше или равно) | |||
!= (не равно) | |||
= (равно) | |||
МЕЖДУ (диапазон для тестирования) | |||
Оператор AND должен присутствовать в этом операторе. | |||
<code>integerColumn > 5</code> | |||
<code>integerColumn < 5</code> | |||
<code>integerColumn >= 5</code> | |||
<code>integerColumn <= 5</code> | |||
<code>integerColumn != 5</code> | |||
<code>integerColumn = 5</code> | |||
<code>integerColumn BETWEEN 9210084 AND 11420982</code> | |||
ГруппаКруглые скобки ( ) группируют предложения для формирования подзапросов | |||
<(columnName = "black" OR columnName = "red") | |||
AND columnName = "label"</code> |
Текущая версия от 07:55, 23 декабря 2024
Применение АппОптима / Мониторинг логов / Мониторинг логов v1 / Средство просмотра логов v1
Просмотрщик журналов АппОптима включен в стоимость хост-единицы бесплатно. АппОптима получает доступ и анализирует все журналы, хранящиеся на отслеживаемых дисках хоста. Чтобы получить доступ к средству просмотра журналов, в меню АппОптима перейдите в раздел Журналы и выберите Проанализировать файлы журналов.
С помощью средства просмотра журналов можно получить доступ и просмотреть только те журналы, которые были настроены для мониторинга (хранения).
Журналы по требованию
Вы можете получить доступ к любому автоматически обнаруженному журналу, просматривая экраны хоста или процесса и переходя к интересующему вас журналу. Журнал, к которому вы перейдете, будет автоматически выбран в средстве просмотра журналов. Имейте в виду, что вы можете просматривать только данные журнала за последние семь дней и только один файл за раз.
Для просмотра журналов для выбранного процесса используйте список файлов журналов на отдельных страницах процесса. В приведенном ниже примере на странице процесса 'couchDB_ET' отображаются два связанных файла журнала. Щелчок по одному из них открывает просмотрщик журналов с предварительно выбранным журналом.
Чтобы просмотреть журналы для выбранного хоста, используйте список файлов журналов на отдельных страницах хоста. Щелчок по одному из них открывает просмотрщик журналов с предварительно выбранным журналом.
Поиск шаблонов в данных журнала и анализ результатов
Файлы журналов обычно содержат много текста. Один из способов обработки большого количества текста-сгруппировать похожие записи журнала и проанализировать их. Средство просмотра журналов позволяет представить необработанные данные журнала в виде сортируемой, фильтруемой таблицы, с которой легко работать.
Используйте средство просмотра журналов для просмотра содержимого отдельных файлов журналов процессов или поиска выбранных файлов журналов по ключевым словам. Отображаются только узлы или группы процессов, активные в течение выбранного периода времени. Результаты журнала могут быть возвращены как в сыром, так и в агрегированном виде. Вы можете проанализировать таблицу результатов и сузить результат поиска по текстовому шаблону, показать и скрыть определенные столбцы, а также определить свои собственные столбцы.
Закладки
Используйте закладку для сохранения и повторного использования поисковых запросов и фильтров. Любые изменения, внесенные во время анализа журнала (разбор журнала и фильтрация столбцов), будут сохранены в закладке. Используя закладки, вы можете вернуться к тем же настройкам позже. Помните, что временные рамки, применяемые к поисковым запросам и фильтрам с закладками, совпадают с временными рамками, установленными на странице.
Поделиться ссылками
Общий анализ журнала отличается от закладок. Ссылка "Поделиться" включает выбранный временной интервал, поэтому человек, который получает ссылку, видит именно то, что вы хотите поделиться в выбранном вами временном интервале. Общая ссылка активна только в течение периода хранения журнала для этой среды. По истечении периода хранения журнала общая ссылка не работает, поскольку данные журнала недоступны.
Поиск текстовых шаблонов в файлах журналов
Для поиска текстового шаблона в файлах журналов выберите журналы с точки зрения групп узлов или процессов, затем выполните поиск текстового шаблона с помощью языка поисковых запросов АппОптима (или оставьте поле запроса пустым, чтобы вернуть все результаты).
Используя комбинации ключевых слов, фраз, логических операторов и круглых скобок, язык поисковых запросов АппОптима обеспечивает полную гибкость поиска по важному содержимому журнала процессов.
"Покажи мне все"
Чтобы вернуть все результаты, оставьте поле запроса пустым.
КатегорияОписаниеПример
Односложные термины
Поиск по одному слову поможет вам найти отдельные вхождения слов. Поиск не чувствителен к регистру.
Искомые слова в файлах журнала определяются как строки между любыми не алфавитно-цифровыми или пробелами. Например, запрос строки error
соответствует обоим abc/error/def
и error.html
error
Фразы
Фразы-это группы слов, заключенные в двойные кавычки. Фразы обрабатываются так же,как односложные термины в запросах. Если поисковая фраза состоит только из буквенно-цифровых символов [a-zA-Z0-9]
, то запрос фактически представляет собой односложный запрос, поэтому двойные кавычки " "
можно опустить.
Вы НЕ можете включать какие-либо логические операторы, подстановочные знаки или группировки (см. Ниже) внутри цитируемых фраз. Любой символ, заключенный в кавычки, ищется буквально. Например, "what?"
возвращает совпадение дляwhat?
, но не для whats
.
"memory fault"
"cat and dog"
Логические операторы
Операторы могут быть записаны в верхнем или нижнем регистре: AND
, &&
запись журнала совпадает, когда она содержит обе окружающие строки. OR
Запись ||
журнала совпадает , если она содержит хотя бы одну из окружающих строк. NOT
Запись журнала совпадает, когда она НЕ содержит строки после NOT
. Логический оператор AND
автоматически вставляется между односложными терминами, которые не заключены в круглые скобки. Например, test failed
равно test AND failed
.
Приоритет: NOT
, AND
, OR
test AND failed
error OR failure
NOT passed
Группировка Круглые скобки ( )
можно использовать для группировки предложений в подзапросы.
(black OR red) AND label
Подстановочные знаки
Подстановочные знаки могут использоваться для представления переменной или неизвестных буквенно-цифровых символов в терминах поиска. Звездочка *
может использоваться для представления любой строки, состоящей из буквенно-цифровых символов. Знак вопроса ?
может использоваться для представления любого отдельного буквенно-цифрового символа.
Примечание: Односимвольные подстановочные запросы *
или ?
не допускаются.
Start*
*down
ex*ed
HTTP50?
Imp???ible
Специальные символы
Специальные символы должны быть экранированы \
(обратная косая черта), а весь запрос должен быть заключен в ""
(двойные кавычки). Например, для поиска следующих записей журнала: status\":502,\"statusText
, в вашем запросе вы должны избегать \"
двойных кавычек и. Кроме того, вы должны заключить все в двойные кавычки.
"status\\\":502,\\\"statusText"
Примеры запросов
Error AND Module1?2
"Connection refused" OR Timeout
Procedure AND (started OR stopped)
Exception AND NOT repeat*
Дополнительные параметры
Выберите Дополнительные параметры для создания столбцов на основе значений, извлеченных из данных журнала. Новые столбцы применяются к результату поиска текстового шаблона в файлах журнала. Извлеченное значение будет первым сопоставленным для каждой записи журнала.
Извлечение полей
Чтобы создать столбец, определите раздел данных журнала, который должен быть извлечен в виде столбца. Укажите строку, непосредственно предшествующую (val_pref
) и непосредственно следующую (val_suff
) за значением, которое вы хотите использовать в столбце. Если найдено совпадение, все между val_pref
и val_suff
будет извлечено как значение в столбце, определенном в объявлении столбца.
- Если вы используете любой из следующих специальных символов в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты (
\
):"
- двойная кавычка%
- процент,
- запятая\
- обратная косая черта - Тип извлеченного значения должен быть одним из поддерживаемых типов столбцов: INTEGER, NUMBER, STRING или BOOLEAN.
- Соответствие для префиксов (
val_pref
) и суффиксов (val_suff
) чувствительно к регистру. - Если значение между
val_pref
иval_suff
не соответствует типу, определенному в типе столбца, значение для определенного столбца возвращено не будет. - Учитывается только первое вхождение префикса. Если нет соответствующего суффикса, значение не будет сопоставлено, даже если соответствующая комбинация префикс-суффикс встречается позже в записи журнала.
- Пустой суффикс означает совпадения от префикса до конца записи журнала.
- Пробелы не обрезаются. Префикс и суффикс должны точно совпадать. Дополнительные пробелы не приводят к совпадению.
Объявление столбца-это когда вы указываете тип столбца (col_type
) и имя столбца (col_name
), разделенные :
символом двоеточия.
Используйте следующий синтаксис для определения столбца: "val_pref%{col_type:col_name}val_suff"
Объявление литерального столбца
Поскольку объявление столбца является буквальным, убедитесь, что вы заключили его в кавычки.
Тип столбца определяет, как значение сопоставляется с данными журнала, и сильно влияет на то, что извлекается в качестве значения. Ниже приведены допустимые типы столбцов, которые можно использовать в объявлении столбца:
ЦЕЛОЕ
потенциально извлеченное значение:
- Может содержать символы
0
-9
, и необязательно в начале,+
или-
. - Не может содержать пробелы или подчеркивания
_
. - Максимальная длина токена составляет 20 символов.
- Пустой токен является неправильным (не подразумевает столбец).
- Представленное значение находится в диапазоне длинного типа Java.
Пользовательские столбцы только для сохраненных журналов
Пользовательские столбцы могут применяться только к централизованно хранящимся журналам.
Вы можете добавить, скрыть или удалить пользовательский столбец на дисплее журнала. Имя каждого столбца должно быть уникальным. Не используйте имя любого автоматически обнаруженного столбца и не повторяйте пользовательское имя столбца, которое вы уже использовали.
Пример данных, которые соответствуют целочисленному типу столбца и будут извлечены как значение в определенном столбце для записи журнала, в которой он был сопоставлен:
<"1234" "+1234" "-1234"
Пример данных, которые не соответствуют целочисленному типу столбца.
Следующие данные журнала не будут перечислены в качестве значения в определенном столбце, если вы используете тип столбца INTEGER:
<"" "123L" "1_234" "1 234" "0x123" "1234567890123456789012"
НОМЕР
Потенциально извлеченное значение:
- Может содержать символы
+
,-
,.
,e
,E
, и любую цифру0 - 9
между ними. - Должен представлять десятичное число в обычной или научной нотации
123E456
.
Пример данных, которые соответствуют типу столбца NUMBER и будут извлечены как значение в определенном столбце для записи журнала, в которой он был сопоставлен:
<"123" "123." ".123" "123.4" "123.4e12" "123.4E56" "+123.4e+12" "-123.4e-12"
Пример данных, которые не соответствуют типу столбца NUMBER.
Следующие данные журнала не будут перечислены в качестве значения в определенном столбце, если вы используете тип столбца NUMBER:
<"" "." "123f" "123,4" "123e" "123 e4" "123e4.5" "123.4e99" "0x12.2P2"
Объявления нескольких столбцов
Вы можете определить несколько столбцов одновременно, разделив каждое объявление столбца ,
запятой.
Например: "prefix1%{INTEGER:myColumn1}suffix1","prefix2%{INTEGER:myColumn2}suffix2"
СТРОКА
Все символы, найденные между val_suff
иval_suff
, будут обрабатываться и извлекаться как строковое значение в определенном столбце.
ЛОГИЧЕСКОЕ
ЗНАЧЕНИЕ Все символы, найденные между val_suff
иval_suff
, будут обрабатываться и сопоставляться как логическое значение в записи журнала (true
или false
).
Примеры извлечения полей
Следующий пример иллюстрирует поведение механизма извлечения, когда в определении столбца используются определенные значения. Выходной столбец представляет значение для записи журнала во вновь определенном myColumn
столбце.
Запись в журнал | Префикс | Суффикс | Тип столбца | Определение столбца | Вывод |
---|---|---|---|---|---|
pref123suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
pref123suff | pref
|
suff
|
NUMBER
|
"pref%{NUMBER:myColumn}suff"
|
123.0f
|
pref123suff pref456suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
некоторый текст
, охватывающий несколько строк текста pref123suff |
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
123L
|
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- | |
pref123456"" | pref
|
""
|
INTEGER
|
"pref%{INTEGER:myColumn}\"\"" 1
|
123456L
|
pref123456 | pref
|
456
|
INTEGER
|
"pref%{INTEGER:myColumn}456"
|
123L
|
pref123suff"" | pref
|
""
|
INTEGER
|
"pref%{INTEGER:myColumn}\"\"" 1
|
- |
Pref123suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
pref 123 suff | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
pref
pref123suff |
pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
abc123def | pref
|
suff
|
INTEGER
|
"pref%{INTEGER:myColumn}suff"
|
- |
pref-abc-suff | pref
|
suff
|
STRING
|
"pref%{STRING:myColumn}suff"
|
-abc-
|
pref:true, | pref:
|
,
|
BOOLEAN
|
"pref:%{BOOLEAN:myColumn}\," 1
|
true
|
1
Если вы используете какие-либо специальные символы ("
, %
, ,
, \
) в префиксе или суффиксе, вам нужно экранировать их с помощью обратной косой черты (\
).
Фильтр значений столбцов
Фильтр только для выполнения запроса
Этот фильтр можно применять только для выполнения результатов запроса. Он не применяется для создания метрики.
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены (_Source
, _Timestamp
, _Content
). Примените фильтр ко всем вручную и автоматически проанализированным столбцам (включая столбцы с извлеченными значениями в расширенных параметрах). Имена столбцов и значения, используемые в фильтре, чувствительны к регистру.
Фильтр только для сохраненных журналов
Этот фильтр может применяться только к централизованно хранящимся журналам.
Вы можете применить фильтр к результатам поиска по текстовому шаблону, но только к столбцам, которые не ограничены (_Source
, _Timestamp
, _Content
). Примените фильтр ко всем столбцам, анализируемым вручную и автоматически. Имена столбцов и значения, используемые в фильтре, чувствительны к регистру.
Каждый столбец содержит значение определенного типа: string, number, integer или Boolean true/false. Синтаксис фильтра может меняться в зависимости от типа значения. Например, если столбец является числовым типом и вы назначаете другой тип значения (string, decimal или true/false) в своем фильтре, вы создадите ошибку синтаксического анализа.
Имена столбцов, содержащие специальные символы (включая пробелы), должны быть заключены в обратные метки.
Например:
`integer Column # 2` = 20
Отфильтрованные значения, содержащие кавычки, должны быть заключены в двойные кавычки.
Например, значение path "test" error
должно быть введено в фильтр как:
expath = "path ""test"" error"
- Значения столбцов, в которых сумма имени столбца и длины значения превышает 8191 символ, сокращаются с помощью многоточия.
Закладки
Недопустимый запрос фильтра столбцов не будет применен к уже сохраненным или общим закладкам.
КатегорияОписаниеПримерЛогическоеЛогическое значение. Подстановочные знаки не принимаются для логических значений (true
или false
).
columnName = false
columnName = true
Номер
Числовое значение; может быть целым или десятичным. Поддерживается только .
(точка) с плавающей запятой, и числа должны быть представлены без пробелов или других разделителей.
Диапазон номеров для доступных типов:
- целое число [-9,223,372,036,854,775,808 до 9,223,372,036,854,775,807]
- десятичная дробь [±3.40282347 E+38F] (6-7 значащих десятичных цифр)
Подстановочные знаки не принимаются для числового типа.
columnName = 5
columnName = 5.005
Фраза Группа слов, окруженных двойными кавычками. Обрабатывается в поиске как одно слово. Внутри скобок принимаются подстановочные знаки.
columnName = "memory fault"
columnName = "cat and dog"
Подстановочный знак
Заменяет часть одного слова термина. Возможные специальные символы:
?
– представляет один символ*
– представляет 0 (ноль) или более символов
Подстановочные знаки не принимаются для чисел и логических операторов.
columnName = "INF*"
columnName = "WA?NING"
columnName = "?INF*"
columnName = "* and *"
Оператор
И - окружающие термины должны существовать
ИЛИ - должен существовать один из окружающих терминов
НЕ преуспевающий термин или фраза не должны существовать
columnName-A = "test" AND columnName-B < 200
columnName-A = true OR columnName-B > 50
NOT columnName-B = 200
Сравнение
> (больше)
< (меньше)
>= (больше или равно)
<= (меньше или равно)
!= (не равно)
= (равно)
МЕЖДУ (диапазон для тестирования)
Оператор AND должен присутствовать в этом операторе.
integerColumn > 5
integerColumn < 5
integerColumn >= 5
integerColumn <= 5
integerColumn != 5
integerColumn = 5
integerColumn BETWEEN 9210084 AND 11420982
ГруппаКруглые скобки ( ) группируют предложения для формирования подзапросов
<(columnName = "black" OR columnName = "red") AND columnName = "label"