Simple Log Service:Logtail を手動でインストールしてサーバーからテキストログを収集する

ログを収集した後、またはログ収集中にエラーが発生した場合は、Logtail に関するよくある質問に記載されている手順に従ってエラーをトラブルシューティングしてください。

前提条件

• Simple Log Service が有効化されていること。 詳細については、「Simple Log Service を有効にする」をご参照ください。

• プロジェクトとログストアが作成されていること。 詳細については、「プロジェクトを作成する」および「ログストアを作成する」をご参照ください。

• Elastic Compute Service (ECS) インスタンスまたはデータセンター内のサーバーが利用可能なこと。 詳細については、「コンソールで ECS インスタンスを作成および管理する (簡易バージョン)」をご参照ください。

• Logtail をインストールする ECS インスタンスまたはサーバーで、Logtail がログデータをアップロードできるようにポート 80 および 443 が有効になっていること。

• Resource Access Management (RAM) ユーザーを使用する場合は、必要な権限が RAM ユーザーに付与されていること。 詳細については、「ECS インスタンスに Logtail をインストールする」をご参照ください。

• ECS インスタンスと Simple Log Service プロジェクトが同じ Alibaba Cloud アカウントに属し、同じリージョンにある場合は、「Logtail を自動的にインストールしてサーバーからテキストログを収集する」に記載されている手順に基づいて Logtail 構成が作成されていること。

収集の概要

Logtail を使用して、ECS インスタンスまたはデータセンター内のサーバーからテキストログを収集するには、次の手順を実行します。

1. ECS インスタンスまたはサーバーに Logtail をインストールする: Logtail がインストールされると、Simple Log Service は Logtail 構成を Logtail に配信し、Logtail を使用して ECS インスタンスまたはサーバーからログを収集できます。

2. マシングループを作成する: マシングループを作成した後、Logtail がインストールされている ECS インスタンスまたはサーバーをマシングループに追加します。 これにより、Simple Log Service を Logtail に接続できます。

3. Logtail 構成を作成する: Logtail 構成が作成されると、Logtail は Logtail 構成に基づいて増分ログを収集し、収集されたログを処理して作成されたログストアにアップロードします。

次の図は、収集プロセスを示しています。

手順

ステップ 1: Logtail をインストールする

#インターネットを使用して Logtail をインストールします。
chmod +x logtail.sh; ./logtail.sh install ${region_id}-internet
#転送アクセラレーション機能を使用して Logtail をインストールします。 Logtail をインストールするサーバーが中国国外のサードパーティクラウドサービスプロバイダーまたは中国国外のデータセンターからのものである場合、インターネット経由のデータ転送により、ネットワーク遅延が大きくなり、接続が不安定になる可能性があります。 このような場合は、転送アクセラレーション機能を使用してログを転送することをお勧めします。
chmod +x logtail.sh; ./logtail.sh install ${region_id}-acceleration
#内部ネットワークを使用して Logtail をインストールします。 この方法は、内部ネットワークが自己管理型データセンターに接続されている場合に適用されます。
chmod +x logtail.sh; ./logtail.sh install ${region_id}

#インターネットを使用して Logtail をインストールします。
chmod +x logtail.sh; ./logtail.sh install-local ${region_id}-internet
#転送アクセラレーション機能を使用して Logtail をインストールします。 Logtail をインストールするサーバーが中国国外のサードパーティクラウドサービスプロバイダーまたは中国国外のデータセンターからのものである場合、インターネット経由のデータ転送により、ネットワーク遅延が大きくなり、接続が不安定になる可能性があります。 このような場合は、転送アクセラレーション機能を使用してログを転送することをお勧めします。
chmod +x logtail.sh; ./logtail.sh install-local ${region_id}-acceleration

#インターネットを使用して Logtail をインストールします。
.\logtail_installer.exe install ${region_id}-internet
#転送アクセラレーション機能を使用して Logtail をインストールします。 Logtail をインストールするサーバーが中国国外のサードパーティクラウドサービスプロバイダーまたは中国国外のデータセンターからのものである場合、インターネット経由のデータ転送により、ネットワーク遅延が大きくなり、接続が不安定になる可能性があります。 このような場合は、転送アクセラレーション機能を使用してログを転送することをお勧めします。
.\logtail_installer.exe install ${region_id}-acceleration

手順 2: マシン グループを作成する

1. ユーザー ID を構成する: ユーザー ID ファイルを作成します。 ユーザー ID ファイルの名前は、Simple Log Service プロジェクトが属する Alibaba Cloud アカウントの取得 ID です。 Simple Log Service プロジェクトに、Logtail を使用して ECS インスタンスまたはサーバーからログを収集する権限を付与します。 ECS インスタンスまたはサーバーと Simple Log Service プロジェクトが同じ Alibaba Cloud アカウントに属する場合は、この手順をスキップします。

   1. Simple Log Service コンソール にログインします。 ホームページの右上隅で、ポインターをプロフィール画像の上に移動します。 表示されるポップオーバーで、[アカウント ID] パラメーターの値を表示してコピーします。 RAM ユーザーを使用して Simple Log Service コンソールにログインする場合は、[メインアカウント ID] パラメーターの値をコピーします。

      

   2. ログを収集する ECS インスタンスまたはサーバーにログインします。 次のいずれかの方法を使用して、ECS インスタンスまたはサーバーのユーザー ID を構成します。

      Linux

      • /etc/ilogtail/users ディレクトリに、取得した Alibaba Cloud アカウントの ID を名前とするファイルを作成します。

        touch /etc/ilogtail/users/{Alibaba Cloud アカウントの ID} # ディレクトリが存在しない場合は、ディレクトリを作成します。 ユーザー ID ファイルの名前を指定する必要があります。 ファイル拡張子を指定する必要はありません。

      • 異なる Alibaba Cloud アカウントに属する複数の Simple Log Service プロジェクトを使用して同じサーバーからログを収集する場合は、サーバー上に Alibaba Cloud アカウントの ID を名前とする複数のファイルを作成します。 例:

        touch /etc/ilogtail/users/{Alibaba Cloud アカウント A の ID}
        touch /etc/ilogtail/users/{Alibaba Cloud アカウント B の ID}

      Windows

      • C:\LogtailData\users ディレクトリに、取得した Alibaba Cloud アカウントの ID を名前とするファイルを作成します。

        • Windows PowerShell で次のコマンドを実行してファイルを作成します。

          ni C:\LogtailData\users\{Alibaba Cloud アカウントの ID}

        • コマンドプロンプトで次のコマンドを実行してファイルを作成します。

          type nul > C:\LogtailData\users\{Alibaba Cloud アカウントの ID}

      • 異なる Alibaba Cloud アカウントに属する複数の Simple Log Service プロジェクトを使用して同じサーバーからログを収集する場合は、サーバー上に Alibaba Cloud アカウントの ID を名前とする複数のファイルを作成できます。

2. マシングループに追加された ECS インスタンスまたはサーバーのカスタム ID を構成する: カスタム ID が構成されると、Simple Log Service はカスタム ID を識別し、ハートビートメッセージを送信することで Simple Log Service と Logtail 間の接続を確立します。

   Linux

   特定のディレクトリに user_defined_id という名前のカスタム ID ファイルを作成し、カスタム ID を構成します。

   重要

   • マシングループには、Linux サーバーと Windows サーバーの両方を含めることはできません。 Linux サーバーと Windows サーバーに同じカスタム ID を構成しないでください。

   • 1 つのサーバーに 1 つ以上の カスタム ID を構成し、ID を改行で区切ることができます。

   1. 次のコマンドを実行して、Linux サーバーの カスタム ID を構成します。

      echo "user-defined-1" > /etc/ilogtail/user_defined_id # /etc/ilogtail/ ディレクトリまたは /etc/ilogtail/user_defined_id ファイルが存在しない場合は、ディレクトリとファイルを作成する必要があります。

   2. デフォルトでは、/etc/ilogtail/user_defined_id ファイルを作成、削除、または変更した後、新しい設定は 1 分以内に有効になります。 新しい設定をすぐに有効にする場合は、次のコマンドを実行して Logtail を再起動します。

      /etc/init.d/ilogtaild stop
      /etc/init.d/ilogtaild start

   Windows

   特定のディレクトリに user_defined_id という名前のカスタム ID ファイルを作成し、カスタム ID を構成します。

   重要

   • マシングループには、Linux サーバーと Windows サーバーの両方を含めることはできません。 Linux サーバーと Windows サーバーに同じ カスタム ID を構成しないでください。

   • 1 つのサーバーに 1 つ以上の カスタム ID を構成し、ID を改行で区切ることができます。

   1. C:\LogtailData\user_defined_id ファイルに user-defined-1 と入力し、ファイルを保存します。 C:\LogtailData ディレクトリまたは C:\LogtailData\user_defined_id ファイルが存在しない場合は、ディレクトリとファイルを作成する必要があります。

   2. デフォルトでは、C:\LogtailData\user_defined_id ファイルを作成、削除、または変更した後、新しい設定は 1 分以内に有効になります。 新しい設定をすぐに有効にするには、次の操作を実行して Logtail を再起動します。

      1. [スタート] > [コントロールパネル] > [管理ツール] > [サービス] を選択します。

      2. [サービス] ダイアログボックスで、管理するサービスを選択します。

      3. Logtail V0.x.x.x の場合は、LogtailWorker を選択します。

      4. Logtail V1.0.0.0 以降の場合は、LogtailDaemon を選択します。

      5. サービスを右クリックし、[再起動] を選択して設定を有効にします。

3. マシングループを作成する: 作成したマシングループに ECS インスタンスまたはサーバーを追加します。 マシングループを使用して、Simple Log Service を ECS インスタンスまたはサーバーにインストールされている Logtail に接続します。 接続が確立されると、Simple Log Service は Logtail 構成を Logtail に配信できます。

   1. Simple Log Service コンソール にログインします。 [プロジェクト] セクションで、管理するプロジェクトをクリックします。 左側のナビゲーションウィンドウで、[リソース] > [マシングループ] を選択します。 [今すぐ作成] をクリックします。 [マシングループの作成] パネルで、[名前] パラメーターを構成し、[マシングループ ID] パラメーターを [カスタム ID] に設定し、[カスタム ID] フィールドに ECS インスタンスまたはサーバーに構成されているユーザー ID を指定します。 この例では、user-defined-1 が指定されています。 設定が完了したら、[OK] をクリックします。

   2. マシングループが作成され、[マシングループ] リストに表示されます。 Logtail がインストールされている ECS インスタンスまたはサーバーの IP アドレスが [マシングループステータス] セクションに表示され、[ハートビート] 列の値は [OK] になります。 これは、Logtail が起動され、Simple Log Service にハートビートメッセージを送信していることを示します。 [マシングループステータス] セクションに IP アドレスが表示されない場合、または [ハートビート] 列の値が [FAIL] の場合は、1 分間待ってからページを更新します。 問題が解決しない場合は、ホスト環境で Logtail マシングループに関連するエラーをトラブルシューティングするにはどうすればよいですか?に記載されている手順に従って問題を解決します。

ステップ 3: Logtail 構成を作成する

1. 左側のナビゲーションウィンドウで、[ログストレージ] をクリックし、作成したログストアをクリックします。 [データ収集] ドロップダウンリストで、[Logtail 構成] をクリックします。 [Logtail 構成] ページで、[Logtail 構成を追加] をクリックします。 [クイックデータインポート] ダイアログボックスで、[正規表現 - テキストログ] の下の [今すぐ統合] をクリックします。これは、Logtail が完全正規表現モードでテキストログを収集し、テキストログが正規表現マッチングに基づいて解析されることを示します。 Logtail を使用して、他のモードでテキストログを収集することもできます。 詳細については、「例」をご参照ください。

2. [データのインポート] ウィザードの [マシングループの設定] ステップで、[シナリオ] パラメーターを Servers に設定し、[インストール環境] パラメーターを ECS に設定します。作成したマシングループを選択し、[>] アイコンをクリックして、マシングループを [ソースマシングループ] セクションから [適用済みサーバーグループ] セクションに移動し、[次へ] をクリックします。

3. [グローバル構成] セクションで、構成名を設定します。

   

4. [入力構成] セクションで、[ファイルパス] パラメーターを構成します。 このパラメーターは、収集するログを保存するために使用されるディレクトリを指定します。 ファイルパスはスラッシュ (/) で始まる必要があります。 この例では、[ファイルパス] は /data/wwwlogs/main/**/*.Log に設定されています。これは、/data/wwwlogs/main ディレクトリにある .Log で終わるファイルからログが収集されることを示します。 [ディレクトリ監視の最大深度] パラメーターを構成して、監視するサブディレクトリの最大レベル数を指定できます。 サブディレクトリは、指定したログファイルディレクトリにあります。 このパラメーターは、[ファイルパス] パラメーターの値で ** ワイルドカード文字が一致できるサブディレクトリのレベルを指定します。 値 0 は、指定されたログファイルディレクトリのみが監視されることを指定します。

   

5. [プロセッサ構成] セクションで、ログサンプル複数行モード手順、、および パラメーターを構成します。

   1. [ログサンプル]: このフィールドに、実際のシナリオから収集されたサンプルログを入力します。 サンプルログは、ログ処理関連のパラメーターを簡単に構成するのに役立ちます。

   2. [複数行モード]: ビジネス要件に基づいて [複数行モード] をオンにします。 複数行ログは、複数の連続した行にまたがっています。 オフにすると、Simple Log Service は単一行モードでログを収集します。 各ログは 1 行に配置されます。 オンにする場合は、次のパラメーターを構成する必要があります。

      • [タイプ]:

        • [カスタム]: 生データの形式が固定されていない場合は、[最初の行に一致する正規表現] パラメーターを構成して、ログの最初の行の先頭に一致します。 [最初の行に一致する正規表現] パラメーターを \[\d+-\d+-\w+:\d+:\d+,\d+]\s\[\w+]\s.* に設定すると、次のサンプルコードの生データは 2 つのログに分割されます。 [最初の行に一致する正規表現] パラメーターの値は、データの行全体と一致する必要があることに注意してください。

          [2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened
              at TestPrintStackTrace.f(TestPrintStackTrace.java:3)
              at TestPrintStackTrace.g(TestPrintStackTrace.java:7)
              at TestPrintStackTrace.main(TestPrintStackTrace.java:16)
          [2023-10-01T10:31:01,000] [INFO] java.lang.Exception: exception happened

        • [複数行 JSON]: 生データが標準 JSON 形式の場合は、[タイプ] パラメーターを [複数行 JSON] に設定します。 Logtail は、JSON 形式のログ内で発生する改行を自動的に処理します。

      • [分割に失敗した場合の処理方法]:

        • [破棄]: テキストを破棄します。

        • [単一行を保持]: テキストの各行をログとして保存します。

   3. [処理方法]: このパラメーターは、ログを分割するために使用される方法を指定します。 この例では、Logtail は完全正規表現モードでテキストログを収集し、データ解析 (正規表現モード) 処理プラグインが自動的に生成されます。 ビジネス要件に基づいて他の処理プラグインを使用できます。

      次のセクションでは、一般的な処理プラグインの設定について説明します。 時間解析、データフィルタリング、データマスキングなどの処理プラグインの機能の詳細については、「データ処理用 Logtail プラグインの概要」をご参照ください。 Simple Log Service は、Simple Log Service 処理言語 (SPL) ベースのデータ処理も提供します。 SPL ベースのデータ処理は、従来の処理プラグインの処理機能を備えていますが、処理プラグインよりも効率的です。 詳細については、「Logtail SPL を使用してログを解析する」をご参照ください。

      データ解析 (正規表現モード) プラグイン

      [プロセッサタイプ] ドロップダウンリストから [データ解析 (正規表現モード)] を選択して、プラグインの詳細構成ページに移動します。

      ページで、[正規表現] パラメーターを構成し、抽出された値に基づいてキーを指定します。 [正規表現] フィールドの下の [生成] をクリックし、次の図に基づいてサンプルログで特定のコンテンツを選択し、表示されるポップオーバーで [正規表現の生成] をクリックします。 次に、Simple Log Service は、選択したコンテンツの正規表現を自動的に生成します。

      

      正規表現が生成されたら、[抽出されたフィールド] パラメーターで、抽出された値に基づいてキーを指定します。 キーと値のペアを使用してインデックスを作成できます。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。

      データ解析 (JSON モード) プラグイン

      重要

      収集された JSON ログを処理する場合は、データ解析 (JSON モード) プラグインを追加できます。

      JSON ログは、オブジェクトまたは配列構造で記述できます。 オブジェクト構造のログにはキーと値のペアが含まれ、配列構造のログには値の順序付きリストが含まれます。 データ解析 (JSON モード) プラグインを使用して、オブジェクトタイプの JSON ログを解析し、各オブジェクトの最初のレイヤーからキーと値のペアを抽出できます。 抽出されたキーはフィールド名として使用され、抽出された値はフィールド値として使用されます。 データ解析 (JSON モード) プラグインを使用して、配列タイプの JSON ログを解析することはできません。 詳細な方法でデータを解析するには、「JSON フィールドを展開する」をご参照ください。

      ビジネス要件に基づいて、複数行モードをオンにします。 複数行モードをオンにする場合は、次のパラメーターを構成する必要があります。

      • [タイプ]: パラメーターを [複数行 JSON] に設定します。

      • [分割に失敗した場合の処理方法]: パラメーターを [単一行を保持] に設定します。

      

      [処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、[データ解析 (JSON モード)] プラグインを追加します。

      

      次の表は、データ解析 (JSON モード) プラグインを追加するために構成する必要があるパラメーターを示しています。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。

      パラメーター	説明
      [元のフィールド]	解析前にログコンテンツを保存する元のフィールド。 デフォルト値: content。
      [解析に失敗した場合に元のフィールドを保持]	生のログの解析に失敗した後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
      [解析に成功した場合に元のフィールドを保持]	解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
      [元のフィールドの新しい名前]	保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを保存する元のフィールドの名前を変更できます。

      データ解析 (Apache モード) プラグイン

      説明

      データ解析 (Apache モード) プラグインを使用して、Apache 構成ファイルで指定したログ形式に基づいて Apache ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。

      [処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (Apache モード) プラグインを追加します。

      次の表は、データ解析 (Apache モード) プラグインを追加するために構成する必要があるパラメーターを示しています。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。

      パラメーター	説明
      [ログ形式]	Apache 構成ファイルで指定したログ形式。 有効な値: common、combined、およびカスタム。
      [APACHE LogFormat 構成]	Apache 構成ファイルで指定したログ構成セクション。 ほとんどの場合、ログ構成セクションは LogFormat で始まります。 [ログ形式] パラメーターを [common] または [combined] に設定すると、システムはこのフィールドに自動的に値を割り当てます。 値が Apache 構成ファイルで指定した値と同じであるかどうかを確認します。 [ログ形式] パラメーターを [カスタム] に設定した場合は、ビジネス要件に基づいて値を指定します。 たとえば、LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %D %f %k %p %q %R %T %I %O" customized と入力できます。
      [元のフィールド]	解析前にログコンテンツを保存する元のフィールド。 デフォルト値: content。
      [正規表現]	Apache ログを抽出するために使用される正規表現。 Simple Log Service は、[APACHE LogFormat 構成] フィールドの値に基づいて正規表現を自動的に生成します。
      [抽出されたフィールド]	[APACHE LogFormat 構成] フィールドの値に基づいて自動的に抽出されるキー。
      [解析に失敗した場合に元のフィールドを保持]	生のログの解析に失敗した後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
      [解析に成功した場合に元のフィールドを保持]	解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
      [元のフィールドの新しい名前]	保持する元のフィールドの新しい名前。 [解析に失敗した場合に元のフィールドを保持] または [解析に成功した場合に元のフィールドを保持] を選択した場合は、元のログコンテンツを保存する元のフィールドの名前を変更できます。

      データ解析 (NGINX モード) プラグイン

      説明

      データ解析 (NGINX モード) プラグインを使用して、log_format に基づいて NGINX ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。

      [処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (NGINX モード) プラグインを追加します。次の表は、データ解析 (NGINX モード) プラグインを追加するために構成する必要があるパラメーターを示しています。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。

      パラメーター	説明
      [NGINX ログ構成]	NGINX 構成ファイルで指定したログ構成セクション。 ログ構成セクションは [log_format] で始まります。 例: log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$request_time $request_length ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent"'; 詳細については、「NGINX ログの概要」をご参照ください。
      [元のフィールド]	解析前にログコンテンツを保存する元のフィールド。 デフォルト値: content。
      [正規表現]	NGINX ログを抽出するために使用される正規表現。 Simple Log Service は、[NGINX ログ構成] フィールドの値に基づいて正規表現を自動的に生成します。
      抽出フィールド	[NGINX ログ設定] フィールドの値に基づいて自動的に抽出されるキーです。
      [元のフィールドを解析失敗時に保持]	生のログの解析に失敗した場合に、新しいログで元のフィールドを保持するかどうかを指定します。
      [元のフィールドを保持 (パース成功時)]	パース後に取得される新しいログに元のフィールドを保持するかどうかを指定します。
      元のフィールドの新しい名前	保持する元のフィールドの新しい名前です。[解析に失敗した場合に元のフィールドを保持する] または [解析に成功した場合に元のフィールドを保持する] を選択した場合、元のログコンテンツを格納する元のフィールドの名前を変更できます。

      データ解析（IIS モード）プラグイン

      説明

      データ解析（IIS モード）プラグインを使用すると、指定したログ形式に基づいてインターネットインフォメーションサービス（IIS）ログを構造化データに解析できます。この場合、ログは複数のキーと値のペアに解析されます。

      処理方法リストからデータ解析（正規表現モード）プラグインを削除し、データ解析（IIS モード）プラグインを追加します。

      次の表は、データ解析（IIS モード）プラグインを追加するために構成する必要があるパラメーターについて説明しています。設定が完了したら、[OK] をクリックします。次に、[次へ] をクリックします。

      パラメーター	説明
      [ログ形式]	IIS サーバーで生成されるログの形式。有効な値： IIS：Microsoft IIS ログファイル形式。 NCSA：NCSA 共通ログファイル形式。 W3C：W3C 拡張ログファイル形式。
      [IIS 構成フィールド]	IIS 構成フィールド。 [ログ形式] パラメーターを IIS または NCSA に設定すると、システムは IIS 構成フィールドを自動的に指定します。 [ログ形式] パラメーターを W3C に設定する場合は、IIS 構成ファイルの logExtFileFlags パラメーターで指定されている内容を入力します。 logExtFileFlags="Date, Time, ClientIP, UserName, SiteName, ComputerName, ServerIP, Method, UriStem, UriQuery, HttpStatus, Win32Status, BytesSent, BytesRecv, TimeTaken, ServerPort, UserAgent, Cookie, Referer, ProtocolVersion, Host, HttpSubStatus" IIS5 構成ファイルのデフォルトパス：C:\WINNT\system32\inetsrv\MetaBase.bin。 IIS6 構成ファイルのデフォルトパス：C:\WINDOWS\system32\inetsrv\MetaBase.xml。 IIS7 構成ファイルのデフォルトパス：C:\Windows\System32\inetsrv\config\applicationHost.config。
      [元のフィールド]	解析前のログコンテンツを格納する元のフィールド。デフォルト値：content。
      [正規表現]	IIS ログの抽出に使用する正規表現。Simple Log Service は、[IIS 構成フィールド] フィールドの値に基づいて正規表現を自動的に生成します。
      [抽出されたフィールド]	[IIS 構成フィールド] フィールドの値に基づいて自動的に抽出されるキー。
      [解析に失敗した場合、元のフィールドを保持する]	生のログの解析に失敗した場合に、解析後の新しいログに元のフィールドを保持するかどうかを指定します。
      [解析に成功した場合、元のフィールドを保持する]	解析後に取得された新しいログに元のフィールドを保持するかどうかを指定します。
      [元のフィールドの新しい名前]	保持する元のフィールドの新しい名前。[解析に失敗した場合、元のフィールドを保持する] または [解析に成功した場合、元のフィールドを保持する] を選択した場合、元のログコンテンツを格納する元のフィールドの名前を変更できます。

      データ解析 (IIS モード) プラグイン

      説明

      データ解析 (IIS モード) プラグインを使用して、指定したログ形式に基づいてインターネットインフォメーションサービス (IIS) ログを構造化データに解析できます。 この場合、ログは複数のキーと値のペアに解析されます。

      [処理方法] リストからデータ解析 (正規表現モード) プラグインを削除し、データ解析 (IIS モード) プラグインを追加します。

      次の表は、データ解析 (IIS モード) プラグインを追加するために構成する必要があるパラメーターを示しています。 設定が完了したら、[OK] をクリックします。 次に、[次へ] をクリックします。

      パラメーター	説明
      元のフィールド	解析前のログコンテンツが格納されている元のフィールドです。デフォルト値：content。
      区切り文字	デリミタ。実際のログの内容に基づいてデリミタを選択します。たとえば、[垂直バー] (|) を選択できます。 説明 [デリミタ] パラメータを [印字不可能な文字] に設定した場合、0x<16進数の印字不可能な文字の ASCII コード> の形式で文字を入力する必要があります。たとえば、16進数の ASCII コードが 01 の印字不可能な文字を使用する場合、[0x01] と入力する必要があります。
      見積もり	引用符。ログフィールドにデリミタが含まれている場合は、フィールドを囲む引用符を指定する必要があります。Simple Log Service は、引用符のペアで囲まれたコンテンツを完全なフィールドとして解析します。収集するログの形式に基づいて引用符を選択します。 説明 Quote パラメーターを [印刷不可文字] に設定する場合、0x<印刷不可文字の 16 進 ASCII コード> の形式で文字を入力する必要があります。たとえば、16 進 ASCII コードが 01 の印刷不可文字を使用する場合、[0x01] と入力する必要があります。
      抽出フィールド	サンプルログを指定した場合、Simple Log Service は、指定されたサンプルログとデリミタに基づいてログコンテンツを自動的に抽出できます。各 Value パラメーターに対して Key パラメーターを設定します。Key パラメーターはフィールド名を指定します。Value パラメーターは抽出されたコンテンツを指定します。 サンプルログを指定しない場合、Value 列は使用できません。実際のログとデリミタに基づいてキーを指定する必要があります。 キーには、英字、数字、およびアンダースコア（_）のみを含めることができ、英字またはアンダースコア（_）で始める必要があります。キーの長さは最大 128 バイトです。
      欠落フィールドを許可	抽出された値の数が指定されたキーの数よりも少ない場合に、Simple Log Service にログをアップロードするかどうかを指定します。[欠落フィールドを許可] パラメーターを選択すると、ログは Simple Log Service にアップロードされます。 この例では、ログは 11|22|33|44 で、デリミタパラメーターは縦棒（|）に設定され、キーは A、B、C、D、および E に設定されています。 E フィールドの値は空です。[欠落フィールドを許可] パラメーターを選択すると、ログは Simple Log Service にアップロードされます。 [欠落フィールドを許可] パラメーターを選択しない場合、ログは破棄されます。 説明 Linux Logtail V1.0.28 以降、または Windows Logtail V1.0.28.0 以降を使用している場合は、デリミタモードでログを収集するときに [欠落フィールドを許可] パラメーターを設定できます。
      超過部分が割り当てられたフィールドの処理方法	抽出された値の数が指定されたキーの数よりも多い場合に、抽出された超過値を処理するために使用されるメソッド。有効な値: 展開: 超過値を保持し、__column$i__ 形式のフィールドに値を追加します。$i は、超過フィールドのシーケンス番号を指定します。シーケンス番号は 0 から始まります。例: __column0__ および __column1__。 保持: 超過値を保持し、__column0__ フィールドに値を追加します。 破棄: 超過値を破棄します。
      [元のフィールドを保持する（解析に失敗した場合）]	生のログの解析に失敗した場合に、新しいログで元のフィールドを保持するかどうかを指定します。
      [元のフィールドを解析成功時に保持]	解析後に取得される新しいログに元のフィールドを保持するかどうかを指定します。
      元のフィールドの新しい名前	保持する元のフィールドの新しい名前です。[解析に失敗した場合、元のフィールドを保持する] または [解析に成功した場合、元のフィールドを保持する] を選択した場合、元のログコンテンツを格納する元のフィールドの名前を変更できます。

      SPL ベースのデータ処理

      Simple Log Service は、カスタム SPL ベースのデータ処理も提供します。従来の処理プラグインと比較して、SPL ベースのデータ処理は、処理速度が速く、処理効率が高く、よりインテリジェントで使いやすくなっています。その結果、SPL ベースのデータ処理は、Simple Log Service の全体的な機能を大幅に向上させます。特定の SPL 文と Simple Log Service の計算機能に基づいてデータを処理できます。詳細については、以下のトピックをご参照ください。

      • SPL 構文の詳細については、「SPL 構文」をご参照ください。

      • SPL の使用方法の詳細については、「Logtail SPL を使用してログを解析する」をご参照ください。

      • SPL ベースのデータ処理の例の詳細については、「SPL 文を使用してテキストログを収集する」をご参照ください。

6. データ クエリと分析を構成する

   Logtail 構成の作成には約 1 分かかります。初めてログストアの Logtail 構成を作成し、特定の条件が満たされた場合、Logtail 構成が作成されます。以下の条件が含まれます。[自動更新] が完了している。指定されたログファイルディレクトリに増分ログが存在する。データのプレビューが可能である。Logtail 構成の作成後、[次へ] をクリックします。Logtail 構成関連の設定は完了です。

   デフォルトでは、Simple Log Service のフルテキストインデックスが有効になっています。この場合、フルテキストインデックスが作成されます。インデックスに基づいてログ内のすべてのフィールドをクエリできます。また、収集されたログに基づいて、フィールドのインデックスを手動で作成することもできます。または、[自動インデックス生成] をクリックすることもできます。その後、Simple Log Service はフィールドのインデックスを生成します。フィールドインデックスに基づいて正確な方法でデータをクエリできます。これにより、インデックス作成のコストが削減され、クエリの効率が向上します。詳細については、「インデックスを作成する」をご参照ください。

   データ解析（正規表現モード）プラグインを使用して収集されたログを処理する場合、抽出されたキーと値のペアは [フィールド検索] セクションに自動的に表示されます。

   Browse to to complete the WordPress installation.

参照資料

• このトピックでは、Logtail 構成を作成する方法の例を示します。ただし、詳細な設定は含まれていません。詳細については、「入力構成」および「プロセッサ構成」をご参照ください。処理プラグインの詳細については、「処理プラグイン」および「Logtail を使用してログを収集する」をご参照ください。SPL 構文と SPL 文の処理機能の詳細については、「SPL 構文」および「SPL 文を使用してテキストログを収集する」をご参照ください。

• このトピックでは、1 つの Logtail 構成を使用して 1 つのログファイルからログを収集する方法について説明します。複数の Logtail 構成を使用して 1 つのログファイルからログを収集することもできます。詳細については、「ファイル内のログの複数のコピーを収集するにはどうすればよいですか?」をご参照ください。1 つの Logtail 構成を使用して、複数のサーバーからログを収集できます。詳細については、「マシン グループの概要」をご参照ください。

• デフォルトでは、Logtail は増分ログを収集します。履歴ログを収集することもできます。詳細については、「ログ ファイルから履歴ログをインポートする」をご参照ください。

• このトピックでは、Logtail を使用してログファイルからテキストログを収集する方法について説明します。収集プロセスに精通していて、他のタイプのデータを収集する場合、「MySQL クエリ結果を収集する」と「HTTP データを収集する」に記載されている手順に従ってデータを収集できます。

• ログを収集した後、Simple Log Service のクエリおよび分析機能を使用できます。詳細については、「ログ クエリおよび分析ガイド」をご参照ください。

• ログを収集した後、Simple Log Service で可視化機能を使用して統計を収集し、ログを表示できます。詳細については、「ダッシュボードを作成する」をご参照ください。

• ログを収集した後、Simple Log Service でアラート機能を使用して、ログの例外に対してアラートを自動的に生成できます。詳細については、「Simple Log Service でアラート ルールを構成する」をご参照ください。

よくある質問

• Logtail のインストール時にエラーが発生した場合は、「Logtail に関する FAQ」に記載されている手順に従ってトラブルシューティングを実施してください。

• マシン グループの作成時にエラーが発生した場合は、「ホスト環境の Logtail マシン グループに関連するエラーのトラブルシューティング方法」に記載されている手順に従ってトラブルシューティングを実施してください。

• Logtail 構成の作成時にエラーが発生した場合は、「Logtail コレクション エラーの表示方法」に記載されている手順に従ってトラブルシューティングを実施してください。

• ログの収集時にエラーが発生した場合は、「Logtail を使用してログを収集するときにエラーが発生した場合の対処方法」に記載されている手順に従ってトラブルシューティングを実施してください。

例

• データ解析（正規表現モード）

  未加工ログ:

  127.0.0.1 - - [16/Aug/2024:14:37:52 +0800] "GET /wp-admin/admin-ajax.php?action=rest-nonce HTTP/1.1" 200 41 "http://www.example.com/wp-admin/post-new.php?post_type=page" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"

  データ解析（正規表現モード）プラグインベースのデータ処理後の戻り結果:

  

  正規表現:

  (\S+)\s-\s(\S+)\s\[([^]]+)]\s"(\w+)\s(\S+)\s([^"]+)"\s(\d+)\s(\d+)\s"([^"]+)"\s"([^"]+).*

• データ解析（JSONモード）

  未加工ログ:

  {"@timestamp":"2024-08-16T16:23:22+08:00","server_addr":"127.0.0.1","remote_addr":"127.0.0.1","scheme":"http","request_method":"POST","request_uri": "/wp-admin/admin-ajax.php","request_length": "1161","uri": "/wp-admin/admin-ajax.php", "request_time":1.099,"body_bytes_sent":78,"bytes_sent":675,"status":"200","upstream_time":"1.097","upstream_host":"unix:/dev/shm/php-cgi.sock","upstream_status":"200","host":"www.example.com","http_referer":"http://www.example.com/wp-admin/index.php","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"}

  データ解析（JSONモード）プラグインベースのデータ処理後の戻り結果:

• データ解析（Apacheモード）

  該当なし

• データ解析（NGINXモード）

  次のコードでは、log_format パラメーターのデフォルト値が使用されています。

  log_format main  '$remote_addr - $remote_user [$time_local] "$request" '
                   '$request_time $request_length '
                   '$status $body_bytes_sent "$http_referer" '
                   '"$http_user_agent"';

  次の表は、ログフィールドについて説明しています。

  フィールド	説明
  remote_addr	クライアントの IP アドレス。
  remote_user	クライアントがリクエストを送信するために使用するユーザー名。
  time_local	サーバーのシステム時間。値は角括弧 [] で囲む必要があります。
  request	リクエストの URI と HTTP プロトコル。
  request_time	リクエストの処理に必要な時間。単位: 秒。
  request_length	リクエストの長さ。リクエスト行、リクエストヘッダー、リクエスト本文はすべてカウントされます。
  status	リクエストのステータス。
  body_bytes_sent	クライアントに送信されるレスポンスのバイト数。レスポンスヘッダーはカウントされません。
  http_referer	ソース Web ページの URL。
  http_user_agent	クライアントのブラウザ情報。

  log_format パラメーターで指定されたログ形式に基づいて NGINX によって生成されたログ:

  192.168.1.1 - - [11/Dec/2024:11:21:03 +0800] "GET /nginx-logo.png HTTP/1.1" 0.000 514 200 368 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36"

  ログストアに収集されたログ:

• データ解析（IISモード）

  該当なし

• データ解析（デリミタモード）

  該当なし

• 単一行モードでのログ収集

  未加工ログ:

  Aug 19 11:20:51 hostname-1 crond[2995]: (CRON) INFO (@reboot jobs will be run at computer's startup.)

  Simple Log Service への単一行モードでのログ収集後の戻り結果:

  

• 複数行モードでのログ収集

  未加工ログ:

  2024-08-19 13:47:37,070 ERROR Failed to join the cluster, retry...
  
  java.lang.IllegalStateException: Fail to get leader of group naming_service_metadata, Unknown leader
  	at com.alipay.sofa.jraft.core.CliServiceImpl.getPeers(CliServiceImpl.java:605)
  	at com.alipay.sofa.jraft.core.CliServiceImpl.getPeers(CliServiceImpl.java:498)
  	at com.alibaba.nacos.core.distributed.raft.JRaftServer.registerSelfToCluster(JRaftServer.java:353)
  	at com.alibaba.nacos.core.distributed.raft.JRaftServer.lambda$createMultiRaftGroup$0(JRaftServer.java:264)
  	at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:511)
  	at java.util.concurrent.FutureTask.run(FutureTask.java:266)
  	at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:180)
  	at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:293)
  	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
  	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
  	at java.lang.Thread.run(Thread.java:748)

  Simple Log Service への複数行モードでのログ収集後の戻り結果:

  

• SPL

  詳細については、「SPL 文を使用してテキストログを収集する」をご参照ください。