このトピックでは、オペレーションオーケストレーションサービス (OOS) に基づいて、Elastic Compute Service (ECS) インスタンスからテキストログを収集するために LoongCollector を自動的にインストールする方法について説明します。 ECS インスタンスと Simple Log Service プロジェクトは、同じ Alibaba Cloud アカウントに属し、同じリージョンに存在する必要があります。
前提条件
Simple Log Service がアクティブ化されていること。 詳細については、「Simple Log Service をアクティブ化する」をご参照ください。
プロジェクトとログストアが作成されていること。 詳細については、「プロジェクトを作成する」および「ログストアを作成する」をご参照ください。
ECS インスタンスが作成されていること。 ECS インスタンスと Simple Log Service プロジェクトは、同じ Alibaba Cloud アカウントに属し、同じリージョンに存在する必要があります。 詳細については、「ECS コンソールのカスタム起動タブでインスタンスを作成し、インスタンスを管理する」をご参照ください。 ECS インスタンスが別の Alibaba Cloud アカウントに属している場合、または Simple Log Service プロジェクトとは異なるリージョンにある場合は、「サーバーからテキストログを収集するために LoongCollector を手動でインストールする」に記載されている手順に従って、LoongCollector 構成を作成します。
LoongCollector をインストールする ECS インスタンスで、ポート 80 および 443 が有効になっていること。これにより、LoongCollector がログデータをアップロードできるようになります。
Resource Access Management (RAM) ユーザーを使用する場合は、必要な権限が RAM ユーザーに付与されていること。 詳細については、「ECS インスタンスに Logtail をインストールする」をご参照ください。
手順
ステップ 1: LoongCollector をインストールし、マシン グループを作成する
Simple Log Service プロジェクトの作成に使用した Alibaba Cloud アカウントを使用して、Simple Log Service コンソール にログオンします。 [プロジェクト] セクションで、作成したプロジェクトをクリックします。
表示されるページの左側のナビゲーションウィンドウで、[ログストレージ] をクリックします。 管理するログストアをクリックし、[データ収集] の左側のドロップダウン矢印をクリックして、[Logtail 構成] をクリックします。 [Logtail 構成] ページで、[Logtail 構成を追加] をクリックします。 [クイックデータインポート] ダイアログボックスで、[正規表現 - テキストログ] を見つけて [今すぐ統合] をクリックします。 この例では、LoongCollector は完全な正規表現モードでテキストログを収集します。
データインポートウィザードの [マシングループの構成] ステップで、[シナリオ] パラメーターを [マシングループを作成] パネルで、Simple Log Service プロジェクトと同じリージョンにある ECS インスタンスを選択し、[インストールしてマシングループを作成] をクリックします。
LoongCollector がインストールされた後、[マシングループの構成] セクションの [名前] パラメーターを構成します。 次に、[OK] をクリックします。
[次へ] をクリックします。 [ハートビート] 列の値が FAIL の場合は、[自動再試行] をクリックし、値が OK になるまで約 2 分待ちます。 次に、[次へ] をクリックします。 デフォルトでは、システムが LoongCollector を自動的にインストールすると、IP アドレスベースの マシングループが作成されます。 IP アドレスベースの マシングループをカスタム識別子ベースの マシングループに変更する場合は、「マシングループを管理する」をご参照ください。
ステップ 2:LoongCollector 構成を作成する
[グローバル構成] セクションで、[構成名] パラメーターを構成します。
[入力構成] セクションで、[ファイルパス] パラメーターを構成します。 [ファイルパス] パラメーターは、収集するログを格納するために使用されるディレクトリを指定します。 ファイルパスはスラッシュ (/) で始まる必要があります。 この例では、[ファイルパス] パラメーターは
/data/wwwlogs/main/**/*.Logに設定されています。これは、/data/wwwlogs/mainディレクトリにある .Log で終わるファイルからログが収集されることを示しています。 [最大ディレクトリ監視深度] パラメーターを構成して、監視するサブディレクトリの最大レベル数を指定できます。 サブディレクトリは、指定したログファイルディレクトリにあります。 このパラメーターは、[ファイルパス] パラメーターの値で**ワイルドカード文字が一致できるサブディレクトリのレベルを指定します。 値 0 は、指定されたログファイルディレクトリのみが監視されることを指定します。
[プロセッサ構成] セクションで、ログサンプル、複数行モード、および 処理方法 パラメーターを構成します。
ログサンプル: [ログサンプル] フィールドに、実際のシナリオから収集されたサンプルログを入力します。 サンプルログは、ログ処理関連のパラメーターを簡単に構成するのに役立ちます。
複数行モード: ビジネス要件に基づいて [複数行モード] をオンにします。 複数行ログは、複数の連続した行にまたがっています。 [複数行モード] をオフにすると、Simple Log Service は単一行モードでログを収集します。 各ログは 1 行に配置されます。 [複数行モード] をオンにする場合は、次のパラメーターを構成する必要があります。
[タイプ]:
[カスタム]: 生データの形式が固定されていない場合は、[最初の行と一致する正規表現] パラメーターを構成して、ログの最初の行の先頭と一致します。 [最初の行と一致する正規表現] パラメーターを
\[\d+-\d+-\w+:\d+:\d+,\d+]\s\[\w+]\s.*に設定すると、次のサンプルコードの生データは 2 つのログに分割されます。 [最初の行と一致する正規表現] パラメーターの値は、データの行全体と一致する必要があることに注意してください。[2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened // 例外が発生しました at TestPrintStackTrace.f(TestPrintStackTrace.java:3) at TestPrintStackTrace.g(TestPrintStackTrace.java:7) at TestPrintStackTrace.main(TestPrintStackTrace.java:16) [2023-10-01T10:31:01,000] [INFO] java.lang.Exception: exception happened // 例外が発生しました[複数行 JSON]: 生データが標準 JSON 形式の場合は、[タイプ] パラメーターを [複数行 JSON] に設定します。 LoongCollector は、JSON 形式のログ内で発生する改行を自動的に処理します。
[分割に失敗した場合の処理方法]
[破棄]: テキストを破棄します。
[単一行を保持]: テキストの各行をログとして保存します。
[処理方法]: このパラメーターは、ログを分割するために使用される方法を指定します。 この例では、LoongCollector は完全な正規表現モードでテキストログを収集し、データ解析 (正規表現モード) 処理プラグインが自動的に生成されます。 ビジネス要件に基づいて他の処理プラグインを使用できます。
次のセクションでは、一般的な処理プラグインの設定について説明します。 時間解析、データフィルタリング、データマスキングなどの処理プラグインの機能の詳細については、「データ処理のための Logtail プラグインの概要」をご参照ください。 Simple Log Service は、Simple Log Service 処理言語 (SPL) ベースのデータ処理も提供します。 SPL ベースのデータ処理は、従来の処理プラグインの処理機能を備えていますが、処理プラグインよりも効率的です。 詳細については、「Logtail SPL を使用してログを解析する」をご参照ください。
データ解析 (正規表現モード) プラグイン
[プロセッサタイプ] ドロップダウンリストから [データ解析 (正規表現モード)] を選択して、プラグインの詳細構成ページに移動します。
ページで、[正規表現] パラメーターを構成し、抽出された値に基づいてキーを指定します。 [正規表現] フィールドの下の [生成] をクリックし、次の図に基づいてサンプルログで特定のコンテンツを選択してから、表示されるポップオーバーで [正規表現の生成] をクリックします。 次に、Simple Log Service は、選択されたコンテンツの正規表現を自動的に生成します。
正規表現が生成された後、[抽出されたフィールド] パラメーターで、抽出された値に基づいてキーを指定します。 キーと値のペアを使用して、インデックスを作成できます。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。
データ解析 (JSON モード) プラグイン
重要収集された JSON ログを処理する場合は、データ解析 (JSON モード) プラグインを追加できます。
JSON ログは、オブジェクトまたは配列構造で記述できます。 オブジェクト構造のログにはキーと値のペアが含まれ、配列構造のログには値の順序付きリストが含まれます。 データ解析 (JSON モード) プラグインを使用して、オブジェクトタイプの JSON ログを解析し、各オブジェクトの最初のレイヤーからキーと値のペアを抽出できます。 抽出されたキーはフィールド名として使用され、抽出された値はフィールド値として使用されます。 データ解析 (JSON モード) プラグインを使用して、配列タイプの JSON ログを解析することはできません。 詳細にデータを解析するには、「JSON フィールドを展開する」をご参照ください。
ビジネス要件に基づいて、複数行モードをオンにします。 複数行モードをオンにする場合は、次のパラメーターを構成する必要があります。
[タイプ]: パラメーターを [複数行 JSON] に設定します。
[分割に失敗した場合の処理方法]: パラメーターを [単一行を保持] に設定します。
[処理方法] リストからデータ解析 (正規表現モード) プラグインを削除します。 データ解析 (JSON モード) プラグインを追加し、[OK] をクリックします。 次に、[次へ] をクリックします。
データ解析 (Apache モード) プラグイン
説明データ解析 (Apache モード) プラグインを使用して、Apache 構成ファイルで指定したログ形式に基づいて Apache ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。
[処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (Apache モード) プラグインを追加します。
次の表に、データ解析 (Apache モード) プラグインを追加するために構成する必要があるパラメーターを示します。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。
パラメーター
説明
[ログ形式]
Apache 構成ファイルで指定したログ形式。 有効な値: common、combined、およびカスタム。
[APACHE LogFormat 構成]
Apache 構成ファイルで指定したログ構成セクション。 ほとんどの場合、ログ構成セクションは LogFormat で始まります。
[ログ形式] パラメーターを [common] または [combined] に設定すると、システムはこのフィールドに自動的に値を割り当てます。 値が Apache 構成ファイルで指定した値と同じであることを確認してください。
[ログ形式] パラメーターを [カスタム] に設定した場合は、ビジネス要件に基づいて値を指定します。 たとえば、
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %D %f %k %p %q %R %T %I %O" customizedと入力できます。
[元のフィールド]
解析前のログコンテンツを格納する元のフィールド。 デフォルト値: content。
[正規表現]
Apache ログを抽出するために使用される正規表現。 Simple Log Service は、[APACHE LogFormat 構成] フィールドの値に基づいて正規表現を自動的に生成します。
[抽出されたフィールド]
[APACHE LogFormat 構成] フィールドの値に基づいて自動的に抽出されるキー。
[解析に失敗した場合に元のフィールドを保持]
生ログの解析に失敗した場合に、取得された新しいログに元のフィールドを保持するかどうかを指定します。
[解析に成功した場合に元のフィールドを保持]
解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
[元のフィールドの新しい名前]
保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを格納する元のフィールドの名前を変更できます。
データ解析 (NGINX モード) プラグイン
説明データ解析 (NGINX モード) プラグインを使用して、log_format に基づいて NGINX ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。
[処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (NGINX モード) プラグインを追加します。
次の表に、データ解析 (NGINX モード) プラグインを追加するために構成する必要があるパラメーターを示します。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。パラメーター
説明
[NGINX ログ構成]
NGINX 構成ファイルで指定するログ構成セクション。[log_format] から始まるログ構成セクション。例:
log_format main '$remote_addr - $remote_user [$time_local] "$request" ' // ログフォーマットメイン '$remote_addr - $remote_user [$time_local] "$request"' '$request_time $request_length ' // '$request_time $request_length' '$status $body_bytes_sent "$http_referer" ' // '$status $body_bytes_sent "$http_referer"' '"$http_user_agent"'; // '"$http_user_agent"';詳細については、「NGINX ログの概要」をご参照ください。
[元のフィールド]
解析前のログコンテンツを格納する元のフィールド。 デフォルト値: content。
[正規表現]
NGINX ログの抽出に使用する正規表現。Simple Log Service は、[NGINX ログ設定] フィールドの値に基づいて、正規表現を自動的に生成します。
[抽出されたフィールド]
[NGINX ログ構成] フィールドの値に基づいて自動的に抽出されるキー。
[解析に失敗した場合に元のフィールドを保持]
生ログの解析に失敗した場合に、取得された新しいログに元のフィールドを保持するかどうかを指定します。
[解析に成功した場合に元のフィールドを保持]
解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
[元のフィールドの新しい名前]
保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを格納する元のフィールドの名前を変更できます。
データ解析 (IIS モード) プラグイン
説明データ解析 (IIS モード) プラグインを使用して、指定したログ形式に基づいてインターネットインフォメーションサービス (IIS) ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。
[処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (IIS モード) プラグインを追加します。
次の表に、データ解析 (IIS モード) プラグインを追加するために構成する必要があるパラメーターを示します。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。
パラメーター
説明
[ログ形式]
IIS サーバーで生成されるログの形式。 有効な値:
IIS: Microsoft IIS ログファイル形式
NCSA: NCSA Common ログファイル形式
W3C: W3C Extended ログファイル形式
[IIS 構成フィールド]
IIS 構成フィールド。
[ログ形式] パラメーターを IIS または NCSA に設定すると、システムは IIS 構成フィールドを自動的に指定します。
[ログ形式] パラメーターを W3C に設定する場合は、IIS 構成ファイルの
logExtFileFlagsパラメーターで指定されているコンテンツを入力します。logExtFileFlags="Date, Time, ClientIP, UserName, SiteName, ComputerName, ServerIP, Method, UriStem, UriQuery, HttpStatus, Win32Status, BytesSent, BytesRecv, TimeTaken, ServerPort, UserAgent, Cookie, Referer, ProtocolVersion, Host, HttpSubStatus" // logExtFileFlags="日付、時間、クライアントIP、ユーザー名、サイト名、コンピューター名、サーバーIP、メソッド、UriStem、UriQuery、HttpStatus、Win32Status、BytesSent、BytesRecv、TimeTaken、サーバーポート、UserAgent、Cookie、Referer、ProtocolVersion、ホスト、HttpSubStatus"IIS5 構成ファイルのデフォルトパス:
C:\WINNT\system32\inetsrv\MetaBase.binIIS6 構成ファイルのデフォルトパス:
C:\WINDOWS\system32\inetsrv\MetaBase.xmlIIS7 構成ファイルのデフォルトパス:
C:\Windows\System32\inetsrv\config\applicationHost.config
[元のフィールド]
解析前のログコンテンツを格納する元のフィールド。 デフォルト値: content。
[正規表現]
IIS ログを抽出するために使用される正規表現。 Simple Log Service は、[IIS 構成フィールド] フィールドの値に基づいて正規表現を自動的に生成します。
[抽出されたフィールド]
[IIS 構成フィールド] フィールドの値に基づいて自動的に抽出されるキー。
[解析に失敗した場合に元のフィールドを保持]
生ログの解析に失敗した場合に、取得された新しいログに元のフィールドを保持するかどうかを指定します。
[解析に成功した場合に元のフィールドを保持]
解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
[元のフィールドの新しい名前]
保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを格納する元のフィールドの名前を変更できます。
データ解析 (デリミタモード) プラグイン
説明データ解析 (デリミタモード) プラグインを使用して、デリミタを使用してログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。
[処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (デリミタモード) プラグインを追加します。
次の表に、データ解析 (デリミタモード) プラグインを追加するために構成する必要があるパラメーターを示します。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。
パラメーター
説明
[元のフィールド]
解析前のログコンテンツを格納する元のフィールド。 デフォルト値: content。
[デリミタ]
デリミタ。 実際のログコンテンツに基づいてデリミタを選択します。 たとえば、[縦棒(|)] を選択できます。
説明[印刷不可文字] にデリミタパラメータを設定する場合は、
0x<印刷不可文字の16進数 ASCII コード>の形式で文字を入力する必要があります。たとえば、16進数 ASCII コードが 01 の印刷不可文字を使用する場合は、0x01 と入力する必要があります。[引用符]
引用符。 ログフィールドにデリミタが含まれている場合は、フィールドを囲む引用符を指定する必要があります。 Simple Log Service は、引用符のペアで囲まれたコンテンツを完全なフィールドに解析します。 収集するログの形式に基づいて引用符を選択します。
説明[印刷不可文字] に引用符パラメータを設定する場合は、
0x<印刷不可文字の16進数 ASCII コード>の形式で文字を入力する必要があります。たとえば、16進数 ASCII コードが 01 の印刷不可文字を使用する場合は、0x01 と入力する必要があります。[抽出されたフィールド]
サンプルログを指定すると、Simple Log Service は、指定されたサンプルログとデリミタに基づいてログコンテンツを自動的に抽出できます。 各 [値] パラメーターの [キー] パラメーターを構成します。 [キー] パラメーターはフィールド名を指定します。 [値] パラメーターは抽出されたコンテンツを指定します。
サンプルログを指定しない場合、[値] 列は使用できません。 実際のログとデリミタに基づいてキーを指定する必要があります。
キーには、文字、数字、アンダースコア (_) のみを含めることができ、文字またはアンダースコア (_) で始める必要があります。 キーの長さは最大 128 バイトです。
[フィールドの欠落を許可]
抽出された値の数が指定されたキーの数よりも少ない場合に、Simple Log Service にログをアップロードするかどうかを指定します。 [フィールドの欠落を許可] パラメーターを選択すると、ログは Simple Log Service にアップロードされます。
この例では、ログは
11|22|33|44で、デリミタパラメーターは縦棒(|)に設定され、キーはA、B、C、D、およびEに設定されています。Eフィールドの値は空です。[欠落フィールドを許可] パラメーターを選択すると、ログは Simple Log Service にアップロードされます。[フィールドの欠落を許可] パラメーターを選択しない場合、ログは破棄されます。
[超過部分が割り当てられたフィールドの処理方法]
抽出された値の数が指定されたキーの数よりも多い場合に、抽出された超過値を処理するために使用されるメソッド。 有効な値:
展開:超過値を保持し、
__column$i__形式のフィールドに値を追加します。$iは超過フィールドのシーケンス番号を指定します。シーケンス番号は 0 から始まります。例:__column0__および__column1__。保持:超過値を保持し、
__column0__フィールドに値を追加します。破棄: 超過値を破棄します。
[解析に失敗した場合に元のフィールドを保持]
生ログの解析に失敗した場合に、取得された新しいログに元のフィールドを保持するかどうかを指定します。
[解析に成功した場合に元のフィールドを保持]
解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
[元のフィールドの新しい名前]
保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを格納する元のフィールドの名前を変更できます。
SPL ベースのデータ処理
Simple Log Service は、カスタム SPL ベースのデータ処理も提供します。 従来の処理プラグインと比較して、SPL ベースのデータ処理は、処理速度が速く、処理効率が高く、よりインテリジェントで使いやすいという特徴があります。 その結果、SPL ベースのデータ処理は、Simple Log Service の全体的な機能を大幅に向上させます。 特定の SPL ステートメントと Simple Log Service の計算機能に基づいてデータを処理できます。 詳細については、「Logtail SPL を使用してログを解析する」をご参照ください。
データクエリと分析を構成する
LoongCollector 構成の作成には約 1 分かかります。 特定の条件が満たされている場合に初めてログストアの LoongCollector 構成を作成すると、LoongCollector 構成が作成されます。 次の条件が含まれます。 [自動リフレッシュ] が完了している。 指定されたログファイルディレクトリに増分ログが存在する。 データをプレビューできる。 LoongCollector 構成が作成されたら、[次へ] をクリックします。 LoongCollector 構成関連の設定は完了です。
デフォルトでは、Simple Log Service のフルテキストインデックスが有効になっています。 この場合、フルテキストインデックスが作成されます。 インデックスに基づいてログ内のすべてのフィールドをクエリできます。 収集されたログに基づいてフィールドのインデックスを手動で作成することもできます。 または、[自動インデックス生成] をクリックすることもできます。 次に、Simple Log Service はフィールドのインデックスを生成します。 フィールドインデックスに基づいてデータを正確にクエリできます。 これにより、インデックス作成コストが削減され、クエリの効率が向上します。 詳細については、「インデックスを作成する」をご参照ください。
データ解析 (正規表現モード) プラグインを使用して収集されたログを処理する場合、抽出されたキーと値のペアは [フィールド検索] セクションに自動的に表示されます。
