当您选择了主机接入方式时,云日志服务可以将主机待采集日志的路径配置到日志流 中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位 发往云日志服务,您可以在云日志服务控制台实时查看日志。
前提条件
已安装ICAgent并添加至主机组。
操作步骤
日志服务接入方式选择主机接入时,按照如下操作完成接入配置。
步骤1 选择日志流
1. 单击“所属日志组”后的目标框,在下拉列表中选择具体的日志组,若没有所需 的日志组,单击“所属日志组”目标框后的“新建”,在弹出的创建日志组页面 创建新的日志组。
2. 单击“所属日志流”后的目标框,在下拉列表中选择具体的日志流,若没有所需 的日志流,单击“所属日志流”目标框后的“新建”,在弹出的创建日志流页面 创建新的日志流。
3. 单击“下一步:选择主机组”。
步骤2 选择主机组
1. 在主机组列表中选择一个或多个需要采集日志的主机组,若没有所需的主机组,
单击列表左上方“新建”,在弹出的新建主机组页面创建新的主机组,具体可参 考创建主机组。
说明
主机组可以为空,可以在接入配置设置完成后对主机组进行设置。
– 在“主机管理 > 主机组”页面对主机组和接入配置进行关联。
– 在接入配置详情中对主机组和接入配置进行关联。
2. 单击“下一步:采集配置”。
步骤3 采集配置
1. 对主机日志采集设置具体的采集规则,具体可参考采集配置。
2. 设置完成后单击“提交”。
步骤4 完成
接入成功,可以单击“返回接入配置列表”查看日志接入,也可单击“查看日志流”
查看该日志流下的采集日志。
----结束
采集配置
在使用主机接入完成日志接入时,在第3步采集配置的具体配置如下:
图3-1 采集配置
1. 采集配置名称:自定义采集配置名称,长度范围为1到64个字符,只支持输入英 文、数字、中文、中划线、下划线以及小数点,且不能以小数点、下划线开头或 以小数点结尾。
说明
导入旧版配置:采集配置名称输入框后的“导入旧版配置”可以将旧版主机接入配置导入 到新版日志接入中。
2. 路径配置:添加您需要收集的日志路径,LTS将按照配置的路径进行日志采集。
– 采集路径支持递归路径,**表示递归5层目录。
示例:采集路径配置为 /var/logs/**/a.log,日志匹配如下:
/var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log
说明
● 以上示例中的/1/2/3/4/5/,表示/var/logs目录中,往里递归的5个目录层级,在这 5个目录层级中只要存在a.log,都能进行日志匹配。
● Windows环境日志采集路径暂不支持递归路径,配置样例:C:\var\service
\a.log。
● 采集路径中只能出现一次**,不能出现两个及以上。正确示例:/var/logs/**/
a.log;错误示例:/opt/test/**/log/**。
● 采集路径中第一个层级不允许为**(避免误采集系统文件),错误示例:/**/
test。
– 采集路径支持模糊匹配,匹配目录或文件名中的任何字符。
说明
● Windows环境日志采集路径暂不支持模糊匹配,配置样例:C:\var\service
\a.log。
● 如果配置了C:/windows/system32类似的日志采集路径,但无法采集日志,请尝 试打开WAF物理防火墙后重新配置。
▪
示例1:采集路径配置为 /var/logs/*/a.log,表示/var/logs/目录下,任何 一个目录中存在a.log,都能进行日志匹配,例如:/var/logs/1/a.log /var/logs/2/a.log
▪
示例2:采集路径配置为 /var/logs/service-*/a.log,日志匹配示例:/var/logs/service-1/a.log /var/logs/service-2/a.log
▪
示例3:采集路径配置为 /var/logs/service/a*.log,日志匹配示例:/var/logs/service/a1.log /var/logs/service/a2.log
– 采集路径如果配置的是目录,示例:/var/logs/,则只采集目录下后缀为
“.log”、“.trace”和“.out”的文件。
如果配置的是文件名,则直接采集对应文件,只支持文本类型的文件。
说明
● 请注意您的敏感信息是否在收集范围内。
● 当主机选择“Windows主机”时,如需采集系统日志,需要在“采集配置”环节,开 启“采集Windows事件日志”。
● windows事件日志采集不能重复配置,即相同主机下,即使跨日志组和日志流,也只能 配置一次。
● LTS暂不支持采集PostgreSQL(数据库)实例的日志,目前只支持采集安装在ECS(主 机)实例的日志。
● 日志采集路径不能重复配置,即相同主机的同一个日志采集路径不能重复配置,否则可 能会导致日志采集异常。
● 相同主机的同一个日志采集路径,如果在AOM进行了配置,则不能在LTS重复配置。
● 配置采集的文件最后修改时间和当前时间差如果已超过12小时,则不会采集。
4. 采集Windows事件日志:当选择Window主机采集日志时,需要开启“采集 Windows事件日志”,并且可以设置“日志类型”、“首次采集时间偏移量”、
“事件等级”来过滤采集您所需要的日志内容。
5. 日志格式、日志时间具体说明如下:
表3-2 日志采集信息
说明日志采集时间:ICAgent采集日志,并且发送到云日志服务的时间;日 志打印时间:系统产生并打印日志的时间。
ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。
时间通配符:用日志打印时间来标识一条日志数据,通过时间 通配符来匹配日志,每条日志的行首显示日志的打印时间。
● 如果日志中的时间格式为:2019-01-01 23:59:59,时间通 配符应该填写为:YYYY-MM-DD hh:mm:ss。
● 如果日志中的时间格式为:19-1-1 23:59:59,时间通配符 应该填写为:YY-M-D hh:mm:ss。
说明
h:mmpm - hours:minutes (03:04PM)
h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100)
hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00)
分行模式 日志格式选择多行日志时,需要选择分行模式,分行模式选择
说明
时间通配和正则表达式均是从每行日志的开头进行严格匹配,如果匹配不上,则会默认使 用系统时间上报,这样可能会和文件内容中的时间不一致。如果没有特殊需求,建议使用 单行日志-系统时间模式即可。
查看日志接入
在云日志服务管理控制台,单击“日志接入”,或在完成主机接入成功后单击“返回 接入配置列表”,进入日志接入页面。
● 在接入配置列表中显示已配置完成的接入配置,单击接入配置名称可进入详情页 面,查看该接入配置详细信息。
● 单击所属日志组或所属日志流,可以进入对应日志组列表或日志流页面查看详 细。
● 修改日志接入:单击需修改接入配置所在行操作列的 ,参考日志接入的操作步 骤进行修改。
● 删除日志接入:单击需删除接入配置所在行操作列的 ,或者勾选需删除的接 入配置,单击页面左上方“批量删除”,可以对多个配置进行批量删除。