全部產品
Search

搜尋本產品

    Simple Log Service:管理Logtail採集配置

    文件中心

    Simple Log Service:管理Logtail採集配置

    更新時間:Jun 10, 2025

    本文介紹如何在Log Service控制台上建立、查看、修改及刪除Logtail採集配置等操作。除了支援控制台操作外,Log Service還支援APISDK的方式。

    Logtail採集配置概述

    採集配置項是定義如何採集、處理日誌資料的核心規則。其目的是通過靈活配置,實現日誌的高效採集、結構化解析、過濾加工等效果。

    • 在控制台建立Logtail採集配置項主要有三部分內容:

      • 全域配置:您可以在全域配置中通過設定不同的日誌主題(Topic)對採集到的文本日誌進行分類,例如按伺服器類型、使用者區分。

        全域配置參數介紹

        配置項

        說明

        配置名稱

        Logtail配置名稱,在其所屬Project內必須唯一。建立Logtail配置成功後,無法修改其名稱。

        日誌主題類型

        選擇日誌主題(Topic)的產生方式。

        • 機器組Topic:Log Service支援將一個Logtail配置應用到多個機器組。使用機器組Topic可用於區分來自不同機器組的日誌。Logtail上報資料時,會將伺服器所在機器組的機器組Topic作為日誌主題上傳至Project。使用者在查詢日誌時需要指定日誌主題作為查詢條件。

        • 檔案路徑提取:若不同的使用者或應用將日誌儲存在不同的頂級目錄中,但下級目錄和記錄檔名相同,Log Service在採集日誌時無法明確區分日誌是由哪個使用者或應用產生的。此時檔案路徑提取方式可用於區分不同使用者或應用產生的日誌資料。通過Regex來完整匹配檔案路徑,並將運算式匹配的結果(使用者名稱或應用程式名稱)作為日誌主題(Topic)上傳至Log Service。

          檔案路徑提取情境樣本

          說明

          檔案路徑的Regex中,需要對正斜線(/)進行轉義。

          情境1:不同使用者將日誌記錄在不同目錄下,但是記錄檔名稱相同,目錄路徑如下所示。

          /data/logs
├── userA
│   └── serviceA
│       └── service.log
├── userB
│   └── serviceA
│       └── service.log
└── userC
    └── serviceA
        └── service.log

          如果在Logtail配置中僅設定檔路徑為/data/logs且檔案名稱為service.log,Logtail會將三個service.log檔案中的內容採集至同一個Logstore中,因此無法區分日誌具體由哪個使用者產生。您可以使用Regex提取檔案路徑中的值,產生不同的日誌主題。

          • Regex

            \/data\/logs\/(.*)\/serviceA\/.*

          • 提取結果

            __topic__: userA
__topic__: userB
__topic__: userC

          情境2:如果單個日誌主題不足以區分日誌的來源,您可以在記錄檔路徑中配置多個正則擷取的群組來提取關鍵資訊。其中擷取的群組包括命名擷取的群組(?P<name>)與非命名擷取的群組兩類。如果使用命名擷取的群組,則產生的tag欄位為__tag__:{name};如果使用非命名擷取的群組,則產生的tag欄位為__tag__:__topic_{i}__,其中{i}為擷取的群組的序號。

          說明

          當Regex中存在多個擷取的群組時,不會產生__topic__欄位。

          例如,檔案路徑為/data/logs/userA/serviceA/service.log,您可以通過以下方式提取檔案路徑中的多個值。

          • 樣本1:使用非命名擷取的群組進行正則提取。

            • Regex

              \/data\/logs\/(.*?)\/(.*?)\/service.log

            • 提取結果

              __tag__:__topic_1__: userA
__tag__:__topic_2__: serviceA

          • 樣本2:使用命名擷取的群組進行正則提取。

            • Regex

              \/data\/logs\/(?P<user>.*?)\/(?P<service>.*?)\/service.log

            • 提取結果

              __tag__:user: userA
__tag__:service: serviceA

          驗證:配置完成後,根據日誌主題查詢日誌:在日誌查詢分析頁面,輸入對應產生的日誌主題,例如__topic__: userA__tag__:__topic_1__: userA查詢相應主題的日誌。更多資訊,請參見查詢文法與功能

          image

        • 自訂:輸入customized:// + 自訂佈景主題名,使用自訂的靜態日誌主題。

        進階參數

        其它可選的與配置全域相關的進階功能參數,請參見建立Logtail流水線配置

      • 輸入配置:您可以在輸入配置中查看Log Service支援採集的資料類型與相應的輸入外掛程式介紹。

        輸入配置參數介紹

        配置項

        說明

        檔案路徑

        根據日誌在主機(例如ECS)上的位置,設定日誌目錄和檔案名稱。

        • 如果目標主機是Linux系統,則日誌路徑必須以正斜線(/)開頭,例如/apsara/nuwa/**/app.Log

        • 如果目標主機是Windows系統,則日誌路徑必須以盤符開頭,例如C:\Program Files\Intel\**\*.Log

        目錄名和檔案名稱均支援完整模式和萬用字元模式,檔案名稱規則請參見Wildcard matching。其中,日誌路徑萬用字元只支援星號(*)和半形問號(?)。

        記錄檔尋找模式為多層目錄匹配,即合格指定目錄(包含所有層級的目錄)下所有合格檔案都會被尋找到。例如:

        • /apsara/nuwa/**/*.log表示/apsara/nuwa目錄(包含該目錄的遞迴子目錄)中尾碼名為.log的檔案。

        • /var/logs/app_*/**/*.log表示/var/logs目錄下所有符合app_*格式的目錄(包含該目錄的遞迴子目錄)中尾碼名為.log的檔案。

        • /var/log/nginx/**/access*表示/var/log/nginx目錄(包含該目錄的遞迴子目錄)中以access開頭的檔案。

        最大目錄監控深度

        設定日誌目錄被監控的最大深度,即檔案路徑中萬用字元**匹配的最大目錄深度。0代表只監控本層目錄。

        檔案編碼

        選擇記錄檔的編碼格式。

        首次採集大小

        配置首次生效時,匹配檔案的起始採集位置距離檔案結尾的大小。首次採集大小設定值為1024 KB。

        • 首次採集時,如果檔案小於1024 KB,則從檔案內容起始位置開始採集。

        • 首次採集時,如果檔案大於1024 KB,則從距離檔案末尾1024 KB的位置開始採集。

        您可以通過此處修改首次採集大小,取值範圍為0~10485760,單位為KB。

        採集黑名單

        開啟採集黑名單開關後,可進行黑名單配置,即可在採集時忽略指定的目錄或檔案。支援完整匹配和萬用字元匹配目錄和檔案名稱。其中,萬用字元只支援星號(*)和半形問號(?)。

        重要

        • 如果您在配置檔案路徑時使用了萬用字元,但又需要過濾掉其中部分路徑,則需在採集黑名單中填寫對應的完整路徑來保證黑名單配置生效。

          例如您配置檔案路徑/home/admin/app*/log/*.log,但要過濾/home/admin/app1*目錄下的所有子目錄,則需選擇目錄黑名單,配置目錄為/home/admin/app1*/**。如果配置為/home/admin/app1*,黑名單不會生效。

        • 匹配黑名單過程存在計算開銷,建議黑名單條目數控制在10條內。

        • 目錄路徑不能以正斜線(/)結尾,例如將設定路徑為/home/admin/dir1/,目錄黑名單不會生效。

        支援按照檔案路徑黑名單、檔案黑名單、目錄黑名單設定,詳細說明如下:

        檔案路徑黑名單

        • 選擇檔案路徑黑名單,配置路徑為/home/admin/private*.log,則表示在採集時忽略/home/admin/目錄下所有以private開頭,以.log結尾的檔案。

        • 選擇檔案路徑黑名單,配置路徑為/home/admin/private*/*_inner.log,則表示在採集時忽略/home/admin/目錄下以private開頭的目錄內,以_inner.log結尾的檔案。例如/home/admin/private/app_inner.log檔案被忽略,/home/admin/private/app.log檔案被採集。

        檔案黑名單

        選擇檔案黑名單,設定檔名為app_inner.log,則表示採集時忽略所有名為app_inner.log的檔案。

        目錄黑名單

        • 選擇目錄黑名單,配置目錄為/home/admin/dir1,則表示在採集時忽略/home/admin/dir1目錄下的所有檔案。

        • 選擇目錄黑名單,配置目錄為/home/admin/dir*,則表示在採集時忽略/home/admin/目錄下所有以dir開頭的子目錄下的檔案。

        • 選擇目錄黑名單,配置目錄為/home/admin/*/dir,則表示在採集時忽略/home/admin/目錄下二級目錄名為dir的子目錄下的所有檔案。例如/home/admin/a/dir目錄下的檔案被忽略,/home/admin/a/b/dir目錄下的檔案被採集。

        允許檔案多次採集

        預設情況下,一個記錄檔只能匹配一個Logtail配置。如果檔案中的日誌需要被採集多份,需要開啟允許檔案多次採集開關。

        進階參數

        其它可選的與檔案輸入外掛程式相關的進階功能參數,請參見建立Logtail流水線配置

      • 處理外掛程式:Logtail提供處理外掛程式用於將原始日誌進一步解析為結構化資料,您可以根據期望的解析方式選擇對應的處理外掛程式,當單一外掛程式不滿足情況時Log Service也支援有限制的外掛程式組合使用。

        處理配置參數介紹

        配置項

        說明

        日誌範例

        待採集日誌的範例,請務必使用實際情境的日誌。日誌範例可協助您配置Tlog相關參數,降低配置難度。支援添加多條範例,總長度不超過1500個字元。

        [2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened
    at TestPrintStackTrace.f(TestPrintStackTrace.java:3)
    at TestPrintStackTrace.g(TestPrintStackTrace.java:7)
    at TestPrintStackTrace.main(TestPrintStackTrace.java:16)

        多行模式

        • 多行日誌的類型:多行日誌是指每條日誌分布在連續的多行中,需要從日誌內容中區分出每一條日誌。

          • 自訂:通過行首Regex區分每一條日誌。

          • 多行JSON:每個JSON對象被展開為多行,例如:

            {
  "name": "John Doe",
  "age": 30,
  "address": {
    "city": "New York",
    "country": "USA"
  }
}

        • 切分失敗處理方式:

          Exception in thread "main" java.lang.NullPointerException
    at com.example.MyClass.methodA(MyClass.java:12)
    at com.example.MyClass.methodB(MyClass.java:34)
    at com.example.MyClass.main(MyClass.java:½0)

          對於以上日誌內容,如果Log Service切分失敗:

          • 丟棄:直接丟棄這段日誌。

          • 保留單行:將每行日誌文本單獨保留為一條日誌,保留為一共四條日誌。

        處理模式

        處理外掛程式組合,包括原生外掛程式拓展外掛程式。有關處理外掛程式的更多資訊,請參見處理外掛程式概述

        重要

        處理外掛程式的使用限制,請以控制台頁面的提示為準。

        • 2.0版本的Logtail:

          • 原生處理外掛程式可任意組合。

          • 原生處理外掛程式和擴充處理外掛程式可同時使用,但擴充處理外掛程式只能出現在所有的原生處理外掛程式之後。

        • 低於2.0版本的Logtail:

          • 不支援同時添加原生外掛程式和擴充外掛程式。

          • 原生外掛程式僅可用於採集文本日誌。使用原生外掛程式時,須符合如下要求:

            • 第一個處理外掛程式必須為正則解析外掛程式、分隔字元模式解析外掛程式、JSON解析外掛程式、Nginx模式解析外掛程式、Apache模式解析外掛程式或IIS模式解析外掛程式。

            • 從第二個處理外掛程式到最後一個處理外掛程式,最多包括1個時間解析處理外掛程式,1個過濾處理外掛程式和多個脫敏處理外掛程式。

          • 對於解析失敗時保留原始欄位解析成功時保留原始欄位參數,只有以下組合有效,其餘組合無效。

            • 只上傳解析成功的日誌:

              image

            • 解析成功時上傳解析後的日誌,解析失敗時上傳原始日誌:

              image

            • 解析成功時不僅上傳解析後的日誌,並且追加原始日誌欄位,解析失敗時上傳原始日誌。

              例如,原始日誌"content": "{"request_method":"GET", "request_time":"200"}"解析成功,追加原始欄位是在解析後日誌的基礎上再增加一個欄位,欄位名為重新命名的原始欄位(如果不填則預設為原始欄位名),欄位值為原始日誌{"request_method":"GET", "request_time":"200"}

              image

    建立Logtail採集配置

    1. 登入Log Service控制台在Project列表地區,單擊目標Project。

      image

    2. 單擊日誌儲存下您的Logstore,在Logtail配置中添加Logtail配置,單擊立即接入,本例使用正則-文本日誌,表示將以正則匹配的方式解析文本日誌。image

    3. 單擊主機情境 > ECS,在下方選擇您之前建立的機器組後單擊>按鈕添加到應用機器組中,點擊下一步。若無機器組,請參考建立機器組image

    4. 全域配置中輸入配置名稱。在其他全域配置中設定日誌主題。

      image日誌主題配置項說明如下:詳細參數請參考全域配置參數介紹

      • 機器組Topic:選擇為機器組Topic時,在建立機器組時必須配置機器組Topic

      • 檔案路徑提取:選擇為檔案路徑提取時,必須配置相應的Regex。

      • 自訂:選擇為自訂時,須輸入customized:// + 自訂佈景主題名,使用自訂的靜態日誌主題。

    5. 輸入配置中配置檔案路徑,代表日誌採集的路徑,日誌路徑必須以正斜線(/)開頭,例如下圖/data/wwwlogs/main/**/*.Log表示/data/wwwlogs/main目錄下尾碼名為.Log的檔案。如果需要設定日誌目錄被監控的最大深度,即檔案路徑中萬用字元**匹配的最大目錄深度。可以修改最大目錄監控深度的取值,0代表只監控本層目錄。詳細參數請參考輸入配置參數介紹

      image

    6. 處理配置中,設定日誌範例,多行模式以及處理模式。image

      1. 建議您在日誌範例中添加日誌範例:日誌範例可協助您配置Tlog相關參數,降低配置難度。若配置請務必使用實際情境中待採集日誌的範例。

      2. 按需選擇是否開啟多行模式:多行日誌是指每條日誌佔用了連續的多行,不開啟則是單行模式,即每一行為一條日誌。若開啟多行模式請配置:

        • 類型:

          • 自訂:原始日誌的格式不固定,則配置行首Regex,來標定每一條日誌的起始行。例如我們使用行首Regex\[\d+-\d+-\w+:\d+:\d+,\d+]\s\[\w+]\s.*,即可將樣本中五行未經處理資料切分為兩條日誌。需要注意,行首Regex需要能夠匹配完整的一行資料。

            [2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened
    at TestPrintStackTrace.f(TestPrintStackTrace.java:3)
    at TestPrintStackTrace.g(TestPrintStackTrace.java:7)
    at TestPrintStackTrace.main(TestPrintStackTrace.java:16)
[2023-10-01T10:31:01,000] [INFO] java.lang.Exception: exception happened

          • 多行JSON:當原始日誌均為標準JSON格式時,可以選擇多行JSON,Logtail會自動處理單條JSON日誌內部的換行。

        • 切分失敗處理方式:

          • 丟棄:直接丟棄這段日誌。

          • 保留單行:將每行日誌文本單獨保留為一條日誌。

      3. 處理外掛程式:處理外掛程式配置的是對一條日誌切割處理的方式。樣本為正則-文本日誌,因此處理外掛程式中自動產生了一個正則解析外掛程式,您也可以根據需要使用其他外掛程式。

        以下為您介紹常用的外掛程式配置方式:有關時間解析,過濾處理,脫敏處理等更多外掛程式能力請參考處理外掛程式。Log Service也提供了SPL處理方式,在實作類別似於傳統處理外掛程式功能的前提下處理效率更高,詳細瞭解請參考使用Logtail SPL解析日誌

        正則解析

        關於該外掛程式的更多詳情,請參見原生外掛程式:正則解析

        1. 單擊正則解析可進入處理外掛程式詳細配置頁面。image

        2. 需要在此頁面配置Regex,以及根據提取的value設定key值。您可以單擊Regex下方的自動產生Regex,之後如圖所示選中日誌範例中的內容後,單擊產生的產生正則,會自動產生選擇內容的Regex。

          image

        3. 產生對應的Regex後,您還需要對在日誌提取欄位中對應產生的value設定key值,這些索引值將有助於您後續設定日誌索引。完成後點擊確認並點擊下一步。

          image

        JSON解析

        重要

        本模式適用於採集JSON日誌。

        JSON日誌有兩種結構,Object類型(索引值對的集合)和Array類型(值的有序列表)。Logtail JSON解析外掛程式支援解析Object類型的JSON日誌,提取為索引值對,即提取Object首層的鍵作為Key,Object首層的值作為Value。但外掛程式不支援解析Array類型的JSON日誌。如需更細粒度請配合擴充外掛程式:展開JSON欄位進行處理。

        關於該外掛程式的更多詳情,請參見原生外掛程式:JSON解析

        根據需要選擇是否開啟處理配置中的多行模式,如果開啟,請使用以下選項:

        • 類型,選擇多行JSON

        • 切分失敗處理方式,選擇保留單行

        image

        刪除處理模式中的正則解析外掛程式,然後添加一個JSON解析外掛程式。

        image

        根據如下表格的配置說明進行外掛程式配置,完成後單擊確認,單擊下一步

        參數名稱

        說明

        原始欄位

        解析日誌前,用於存放日誌內容的原始欄位,預設值為content。

        解析失敗時保留原始欄位

        選中解析失敗時保留原始欄位,則解析失敗時,將保留原始欄位。

        解析成功時保留原始欄位

        選中解析成功時保留原始欄位,則解析成功時,將保留原始欄位。

        重新命名的原始欄位

        選中解析失敗時保留原始欄位解析成功時保留原始欄位後,可重新命名原始欄位名,用於存放原始的日誌內容。

        分隔字元解析

        說明

        Logtail分隔字元模式解析外掛程式支援通過分隔字元將日誌內容結構化,解析為多個索引值對形式。

        關於該外掛程式的更多詳情,請參見原生外掛程式:分隔字元模式解析

        刪除處理模式中的正則解析外掛程式,然後添加一個分隔字元解析外掛程式。image

        根據如下表格的配置說明進行外掛程式配置,完成後點擊確認,點擊下一步。

        參數

        描述

        原始欄位

        解析日誌前,用於存放日誌內容的原始欄位,預設值為content。

        分隔字元

        請根據您的日誌內容選擇正確的分隔字元,例如豎線(|)。

        說明

        指定分隔字元為不可見字元時,您需要尋找不可見字元在ASCII碼中對應的十六進位數,輸入的格式為0x<不可見字元在ASCII碼中對應的十六進位數>。例如ASCII碼中排行為1的不可見字元為0x01

        引用符

        當日誌欄位內容中包含分隔字元時,需要指定引用符進行包裹,被引用符包裹的內容會被Simple Log Service解析為一個完整欄位。請根據您的日誌格式選擇正確的引用符。

        說明

        指定引用符為不可見字元時,您需要尋找不可見字元在ASCII碼中對應的十六進位數,輸入的格式為0x<不可見字元在ASCII碼中對應的十六進位數>。例如ASCII碼中排行為1的不可見字元為0x01

        日誌提取欄位

        • 當您配置了日誌範例時,Simple Log Service會根據您輸入的日誌範例及選擇的分隔字元提取日誌內容,並將其定義為Value,您需要為各個Value指定對應的Key。

        • 當您未配置日誌範例時,無Value列表,您需要根據實際日誌及分隔字元情況,輸入對應的Key。

        Key只能包括字母、數字或底線(_),且只能以字母或底線(_)開頭。最大長度為128位元組。

        允許部分欄位

        如果日誌中實際提取出的Value數量少於Key數量,是否上傳日誌到Simple Log Service。選中允許部分欄位表示上傳。

        例如日誌為11|22|33|44,分隔字元為豎線(|),Key為ABCDE

        • 如果選中允許部分欄位,則E欄位的Value為空白,該日誌將被上傳到Simple Log Service

        • 如果未選中允許部分欄位,該日誌會被丟棄。

          說明

          Linux Logtail 1.0.28及以上版本或Windows Logtail 1.0.28.0及以上版本支援配置分隔字元模式的允許部分欄位參數。

        處理超出欄位方式

        日誌中提取的Value數量大於Key數量時的處理方法。

        • 展開:保留多餘的Value內容,分別添加到__column$i__格式的欄位中,其中$i代表多餘欄位序號,從0開始計數。例如__column0____column1__

        • 保留:保留多餘的Value內容,並整體添加到名為__column0__的欄位中。

        • 丟棄:丟棄多餘的Value內容。

        解析失敗時保留原始欄位

        選中解析失敗時保留原始欄位,則解析失敗時,將保留原始欄位。

        解析成功時保留原始欄位

        選中解析成功時保留原始欄位,則解析成功時,將保留原始欄位。

        重新命名的原始欄位

        選中解析失敗時保留原始欄位解析成功時保留原始欄位後,可重新命名原始欄位名,用於存放原始的日誌內容。

        APACHE模式解析

        說明

        Logtail Apache模式解析外掛程式支援根據Apache日誌設定檔中的定義將日誌內容結構化並解析為多個索引值對形式。

        關於該外掛程式的更多詳情,請參見原生外掛程式:Apache模式解析

        操作步驟

        刪除處理模式中的正則解析外掛程式,然後添加一個APACHE模式解析外掛程式。

        image

        根據如下表格的配置說明進行外掛程式配置,完成後點擊確認,點擊下一步。

        參數名稱

        說明

        日誌格式

        根據Apache日誌設定檔中定義的日誌格式進行選擇,包括common、combined和自訂。

        APACHE配置欄位

        Apache設定檔中的日誌配置部分,通常以LogFormat開頭。

        • 當配置日誌格式commoncombined時,此處會自動填滿對應格式的配置欄位,請確認是否和Apache設定檔中定義的格式一致。

        • 當配置日誌格式自訂時,請根據實際情況填寫,例如LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %D %f %k %p %q %R %T %I %O" customized

        原始欄位

        解析日誌前,用於存放日誌內容的原始欄位,預設值為content。

        Regex

        用於提取Apache日誌的Regex。Simple Log Service會根據APACHE配置欄位中的內容自動產生該Regex。

        日誌提取欄位

        根據APACHE配置欄位中的內容自動組建記錄檔欄位(key)。

        解析失敗時保留原始欄位

        選中解析失敗時保留原始欄位,則解析失敗時,將保留原始欄位。

        解析成功時保留原始欄位

        選中解析成功時保留原始欄位,則解析成功時,將保留原始欄位。

        重新命名的原始欄位

        選中解析失敗時保留原始欄位解析成功時保留原始欄位後,可重新命名原始欄位名,用於存放原始的日誌內容。

        NGINX模式解析

        說明

        Logtail Nginx模式外掛程式支援根據log_format中的定義將日誌內容結構化,解析為多個索引值對形式。

        關於該外掛程式的更多詳情,請參見原生外掛程式:Nginx模式解析

        刪除處理模式中的正則解析外掛程式,然後添加一個NGINX模式解析外掛程式。

        image

        根據如下表格的配置說明進行外掛程式配置,完成後點擊確認,點擊下一步。

        參數名稱

        說明

        NGINX日誌配置

        Nginx設定檔中的日誌配置部分,以log_format開頭。例如: 

        log_format main  '$remote_addr - $remote_user [$time_local] "$request" '
                 '$request_time $request_length '
                 '$status $body_bytes_sent "$http_referer" '
                 '"$http_user_agent"';

        更多資訊,請參見Nginx日誌簡介

        原始欄位

        解析日誌前,用於存放日誌內容的原始欄位,預設值為content。

        Regex

        用於提取Nginx日誌的Regex。Simple Log Service會根據NGINX日誌配置 中的內容自動產生該Regex。

        日誌提取欄位

        根據NGINX日誌配置自動提取對應的日誌欄位(Key)。

        解析失敗時保留原始欄位

        選中解析失敗時保留原始欄位,則解析失敗時,將保留原始欄位。

        解析成功時保留原始欄位

        選中解析成功時保留原始欄位,則解析成功時,將保留原始欄位。

        重新命名的原始欄位

        選中解析失敗時保留原始欄位解析成功時保留原始欄位後,可重新命名原始欄位名,用於存放原始的日誌內容。

        IIS模式解析

        說明

        Logtail IIS模式外掛程式支援根據IIS日誌格式定義將日誌內容結構化,解析為多個索引值對形式。

        關於該外掛程式的更多詳情,請參見原生外掛程式:IIS模式解析

        刪除處理模式中的正則解析外掛程式,然後添加一個IIS模式解析外掛程式。image

        根據如下表格的配置說明進行外掛程式配置,完成後點擊確認,點擊下一步。

        參數名稱

        說明

        日誌格式

        選擇您的IIS伺服器日誌採用的日誌格式,具體說明如下:

        • IIS:Microsoft IIS記錄檔格式。

        • NCSA:NCSA公用記錄檔格式。

        • W3C:W3C擴充記錄檔格式。

        IIS配置欄位

        配置IIS配置欄位,具體說明如下:

        • 日誌格式為IIS或NCSA時,Log Service已預設設定了IIS配置欄位。

        • 日誌格式為W3C日誌時,設定為IIS設定檔中logExtFileFlags參數中的內容,例如:

          logExtFileFlags="Date, Time, ClientIP, UserName, SiteName, ComputerName, ServerIP, Method, UriStem, UriQuery, HttpStatus, Win32Status, BytesSent, BytesRecv, TimeTaken, ServerPort, UserAgent, Cookie, Referer, ProtocolVersion, Host, HttpSubStatus"

          • IIS5設定檔預設路徑:C:\WINNT\system32\inetsrv\MetaBase.bin

          • IIS6設定檔預設路徑:C:\WINDOWS\system32\inetsrv\MetaBase.xml

          • IIS7設定檔預設路徑:C:\Windows\System32\inetsrv\config\applicationHost.config

        原始欄位

        解析日誌前,用於存放日誌內容的原始欄位,預設值為content。

        Regex

        用於提取IIS日誌的Regex。Simple Log Service會根據IIS配置欄位中的內容自動產生該Regex。

        日誌提取欄位

        根據IIS配置欄位中的內容自動組建記錄檔欄位(Key)。

        解析失敗時保留原始欄位

        選中解析失敗時保留原始欄位,則解析失敗時,將保留原始欄位。

        解析成功時保留原始欄位

        選中解析成功時保留原始欄位,則解析成功時,將保留原始欄位。

        重新命名的原始欄位

        選中解析失敗時保留原始欄位解析成功時保留原始欄位後,可重新命名原始欄位名,用於存放原始的日誌內容。

        SPL處理

        Log Service還提供了自訂SPL處理方式,與傳統的處理外掛程式相比,使用SPL不僅提高了處理速度和效率,還提供了更多智能化和易用性方面的優勢,使得Log Service的整體能力得到了顯著增強。通過編寫SPL語句,您可以充分利用其計算能力來處理資料。

    查看Logtail採集配置

    1. 登入Log Service控制台

    2. 在Project列表地區,單擊目標Project。

      image

    3. 日誌儲存 > 日誌庫頁簽中,單擊目標日誌庫前面的>,依次選擇資料接入 > Logtail配置

    4. 單擊目標Logtail採集配置,查看Logtail採集配置詳情。

    修改Logtail採集配置

    1. 登入Log Service控制台

    2. 在Project列表地區,單擊目標Project。

      image

    3. 日誌儲存 > 日誌庫頁簽中,單擊目標日誌庫前面的>,依次選擇資料接入 > Logtail配置

    4. Logtail配置列表中,單擊目標Logtail採集配置。

    5. Logtail配置頁面,單擊編輯

    6. 根據需求,修改相關配置,並單擊儲存

      詳細參數說明請參見Logtail採集配置概述

    刪除Logtail採集配置

    1. Logtail配置列表中,單擊目標Logtail採集配置右側的Logtail組態管理表徵圖,選擇刪除

    2. 在刪除確認框中,單擊確認

      刪除成功後,該Logtail採集配置與機器組解除綁定,Logtail停止採集該Logtail採集配置對應的日誌。

      說明

      刪除logstore前,必須刪除其對應的所有Logtail採集配置。