変換されたデータを宛先Logstoreに配布した後、Logstoreに予期しないデータが含まれる可能性があります。 このトピックでは、この状況で問題をトラブルシューティングする方法について説明します。
ソースLogstoreはwebsite_logです。 SourceIPが192.0.2.54である1,000のログエントリ、SourceIPが192.0.2.28である1,000のログエントリ、SourceIPが192.0.2.136である1,000のログエントリ、およびSourceIPがこれらのIPアドレスと異なる2,000のログエントリが含まれます。 ログエントリが変換されます。 次に、特定の条件を満たすログエントリが異なる宛先ログストアに配布されます。
変換の要件
SourceIPが192.0.2.54のログエントリを54_log Logstoreに配布します。
SourceIPが192.0.2.28のログエントリを28_log Logstoreに配布します。
SourceIPが192.0.2.136のログエントリーを136_log Logstoreに配信します。
想定される結果
54_log Logstoreには、SourceIPが192.0.2.54である1,000のログエントリが含まれます。
28_log Logstoreには、SourceIPが192.0.2.28である1,000のログエントリが含まれます。
136_log Logstoreには、SourceIPが192.0.2.136である1,000のログエントリが含まれます。
変換ステートメント
e_if(e_search("SourceIP==192.0.2.54"), e_output(name="54-target", project="sls-test", logstore="54_log")) e_if(e_search("SourceIP==192.0.2.28"), e_output(name="28-target", project="sls-test", logstore="28_log")) e_if(e_search("SourceIP==192.0.2.136"), e_output(name="136-target", project="sls-test", logstore="136_log"))ストレージターゲット
変換結果
54_logログストアには、SourceIPが192.0.2.54または192.0.2.26および192.0.2.136以外のIPアドレスである3,000のログエントリが含まれます。 これは期待に応えません。
28_logログストアには、SourceIPが192.0.2.28の1,000個のログエントリーが含まれています。 これは期待に応えます。
136_log Logstoreには、SourceIPが192.0.2.136である1,000のログエントリが含まれます。 これは期待に応えます。
原因
Log Serviceが変換後のログエントリを配布する際、e_output関数ごとに条件を満たすログエントリは、指定した保存先のLogstoreに配布されます。条件を満たさず、廃棄されないログエントリは、すべて番号のついた保存先のLogstoreに配布されます。 1. この例では、これらのログエントリは54_log Logstoreに配布されます。 デフォルトでは、番号1の格納先が使用されます。
ソリューション
変換ステートメントにe_drop() 関数を含めて、ステートメントで指定された条件を満たさないログエントリを破棄します。
e_if(e_search("SourceIP==192.0.2.54"), e_output(name="54-target", project="sls-test", logstore="54_log")) e_if(e_search("SourceIP==192.0.2.28"), e_output(name="28-target", project="sls-test", logstore="28_log")) e_if(e_search("SourceIP==192.0.2.136"), e_output(name="136-target", project="sls-test", logstore="136_log")) e_drop()