快速入门

前提条件

• 已注册阿里云账号，并完成实名认证，详情请参见创建阿里云账号。
• 已开通日志服务。

  首次登录日志服务控制台时，根据页面提示开通日志服务。

• 在需要创建Project的地域，已有可用的Linux系统的云服务器ECS，详情请参见创建ECS实例。

步骤1：创建Project和Logstore

在采集日志前，先创建Project和Logstore。

1. 登录日志服务控制台。
2. 创建Project。
   1. 在Project列表区域，单击创建Project。
   2. 在创建Project对话框中，配置如下参数。

      参数	说明
      Project名称	Project名称在阿里云地域内全局唯一，创建后不能修改。
      注释	Project的简单注释。
      所属地域	请根据日志来源及其他实际情况选择合适的阿里云地域。 如果您要采集ECS日志，建议选择与ECS相同的地域，即可使用阿里云内网收集日志，加快日志采集速度。 创建Project后，无法修改其所属地域，且日志服务不支持Project跨地域迁移，请谨慎选择Project所属地域。不同地域对应的Endpoint请参见服务入口。

   3. 单击确定，完成创建。
3. 创建Logstore。
   创建Project完成后，系统会提示您创建一个Logstore，具体参数说明如下所示。

   参数	说明
   Logstore名称	Logstore名称在其所属Project内必须唯一，创建后不能修改。
   WebTracking	WebTracking支持从HTML、H5、iOS或Android平台采集数据到日志服务。默认为关闭状态。
   永久保存	开启该功能后，日志服务将永久保存采集到的日志，默认为关闭状态。
   数据保存时间	未开启永久保存时，需设置数据保存时间。 日志服务采集的日志在Logstore中的保存时间，单位为天，取值范围：1~3000。超过该时间后，日志会被删除。
   Shard数目	日志库的分区数量，每个Logstore可以创建1~10个分区。每个Project中最多创建200个分区。
   自动分裂shard	当数据量超过已有Shard的服务能力后，开启自动分裂功能可自动根据数据量增加分区数量，默认为开启状态。详情请参见管理Shard。
   最大分裂数	开启自动分裂shard后，Shard自动分裂的最大数目，最大为64。
   记录外网IP	开启该功能后，日志服务采集到日志后，自动把以下信息添加到日志的Tag字段中。 __client_ip__：日志来源设备的公网IP地址。 __receive_time__：日志到达服务端的时间，格式为Unix时间戳。

步骤2：采集数据

本文以分隔符模式为例进行采集说明。

1. 在接入数据区域，选择分隔符-文本日志。
2. 在选择日志空间页签中，选择目标Project和Logstore，单击下一步。
   您也可以单击立即创建，重新创建Project和Logstore。
3. 在创建机器组页签中，创建机器组。
   • 如果您已有可用的机器组，请单击使用现有机器组。
   • 如果您还没有可用的机器组，请执行以下操作（以ECS为例）：
     1. 在ECS机器页签中，选中ECS实例，单击安装。

        如果已在ECS上安装Logtail，请直接单击确认安装完毕。

        说明

        • 如果是Linux系统的ECS实例，单击安装一键式安装Logtail。
        • 如果是Windows系统的ECS实例，需要手动安装Logtail，详情请参见安装Logtail（Windows系统）。
        • 如果是自建集群，需要手动安装Logtail，详情请参见安装Logtail（Linux系统）或安装Logtail（Windows系统）。
     2. 安装完成后，单击确认安装完毕。
     3. 创建机器组，详情请参见创建IP地址机器组或创建用户自定义标识机器组。
4. 在机器组配置页签中，应用机器组。
   选择一个机器组，将该机器组从源机器组移动到应用机器组。
5. 在Logtail配置页签中，创建Logtail配置。

   参数	说明
   配置名称	Logtail配置的名称，设置后不可修改。 您也可以单击导入其他配置，导入其他Project中已创建的Logtail配置。
   日志路径	指定日志的目录和文件名。 日志文件名支持完整文件名和通配符两种模式，文件名规则请参见Wildcard matching。日志文件查找模式为多层目录匹配，即指定目录（包含所有层级的目录）下所有符合条件的文件都会被查找到。例如： /apsara/nuwa/ … /*.log表示/apsara/nuwa目录（包含该目录的递归子目录）中后缀名为.log的文件。 /var/logs/app_* … /*.log*表示/var/logs目录下所有符合app_*模式的目录（包含该目录的递归子目录）中包含.log的文件。 说明 一个文件只能被一个Logtail配置采集。 目录通配符只支持星号（*）和问号（?）。
   是否为Docker文件	如果是Docker文件，可以直接配置容器内部路径与容器Tag，Logtail会自动监测容器的创建和销毁，并根据Tag进行过滤采集指定容器的日志。关于容器文本日志采集请参见通过DaemonSet-控制台方式采集Kubernetes文件。
   设置采集黑名单	开启该功能后，可设置黑名单配置。黑名单配置可在采集时忽略指定的目录或文件，目录和文件名支持完整匹配，也支持通配符模式匹配。例如： 选择按目录路径，路径为/tmp/mydir，则在采集时过滤掉该目录下的所有文件。 选择按文件路径，路径为/tmp/mydir/file，则在采集时过滤掉该文件。
   模式	默认为分隔符模式，可修改为其它模式，其他模式的配置请参见概述。
   日志样例	请根据实际场景输入一条日志样例，分隔符模式只适用于采集单行日志。
   分隔符	请根据您的日志格式选择正确的分隔符，否则日志数据会解析失败。 说明 指定分隔符为不可见字符时，您需要查找不可见字符在ASCII码中对应的十六进制数，输入的格式为0x不可见字符在ASCII码中对应的十六进制数。例如ASCII码中排行为1的不可见字符填写为0x01。
   引用符	请根据您的日志格式选择正确的引用符，否则日志数据会解析失败。 说明 指定引用符为不可见字符时，您需要查找不可见字符在ASCII码中对应的十六进制数，输入的格式为0x不可见字符在ASCII码中对应的十六进制数。例如ASCII码中排行为1的不可见字符填写为0x01。
   日志抽取内容	日志服务会根据您输入的日志样例及选择的分隔符提取日志内容，并将其定义为Value，您需要分别为Value指定对应的Key。
   是否接受部分字段	配置采集后，若日志中分割出的字段数少于配置的Key数量，是否上传已解析的字段。开启表示上传，关闭表示丢弃本条日志。 例如，日志为11|22|33|44|55，设置分隔符为|，日志内容会被解析为11、22、33、44和55，为其分别设置Key为A、B、C、D和E。 如果开启接受部分字段，采集日志11|22|33|55时，55会作为Key D的Value被上传到日志服务。 如果关闭接受部分字段，该条日志会因字段与Key不匹配而被丢弃。
   使用系统时间	开启使用系统时间，则日志时间为采集日志时，Logtail所在主机的系统时间。 关闭使用系统时间，则需要在日志抽取内容中指定某一个Value为时间字段，并命名为time。选取时间字段后，您可以单击时间转换格式中的自动生成生成解析该时间字段的方式。关于日志时间格式的更多信息请参见时间格式。
   丢弃解析失败日志	开启丢弃解析失败日志，解析失败的日志不上传到日志服务。 关闭丢弃解析失败日志，日志解析失败时上传原始日志。
   最大监控目录深度	设置日志目录被监控的最大深度。最大深度范围：0~1000，0代表只监控本层目录。

   请根据您的需求选择高级配置。如没有特殊需求，建议保持默认配置。

   参数	详情
   启用插件处理	请选择是否启用Logtail处理。开启该功能后，使用Logtail插件处理日志，具体配置请参见处理数据。
   上传原始日志	开启该功能后，原始日志内容作为__raw__字段与解析过的日志一起上传到日志服务。
   Topic生成方式	空-不生成Topic：默认选项，表示设置Topic为空字符串，在查询日志时不需要输入Topic即可查询。 机器组Topic属性：设置为机器组Topic属性，用于明确区分不同服务器产生的日志数据。 文件路径正则：设置为文件路径正则，则需要配置自定义正则，用正则表达式从路径里提取一部分内容作为Topic。用于区分不同用户或实例产生的日志数据。
   日志文件编码	utf8：指定使用UTF-8编码。 gbk：指定使用GBK编码。
   时区属性	设置采集日志时，日志时间的时区属性。 机器时区：默认为机器所在时区。 自定义时区：手动选择时区。
   超时属性	如果一个日志文件在指定时间内没有任何更新，则认为该文件已超时。 永不超时：持续监控所有日志文件，永不超时。 30分钟超时：如果日志文件在30分钟内没有更新，则认为已超时，并不再监控该文件。 选择30分钟超时时，还需配置最大超时目录深度，范围为1~3。
   过滤器配置	只采集完全符合过滤器中的条件的日志。例如： 满足条件即采集：配置Key:level Regex:WARNING|ERROR，表示只采集level为WARNING或ERROR类型的日志。 过滤不符合条件的数据： 配置为Key:level Regex:^(?!.*(INFO|DEBUG)).*，表示不收集level为INFO或DEBUG类型的日志。 配置为Key:url Regex:.*^(?!.*(healthcheck)).*，表示不采集URL中带有healthcheck的日志，例如key为url，value为/inner/healthcheck/jiankong.html的日志将不会被采集。 更多示例请参见regex-exclude-word、regex-exclude-pattern。

6. 在查询分析配置页签中，设置索引。
   默认已设置索引，您也可以根据业务需求，重新设置索引，具体请参见开启并配置索引。

   说明

   • 全文索引和字段索引属性必须至少启用一种。同时启用时，以字段索引属性为准。
   • 索引类型为long、double时，大小写敏感和分词符属性无效。

步骤3：查询日志

日志服务支持通过查询分析语句对日志进行实时查询与分析。

1. 单击目标Project。
2. 在日志管理 > 日志库页签中，单击目标Logstore右侧的 > 查询分析。
3. 在搜索框中，输入查询分析语句，选择时间范围，单击查询/分析。
   • 日志服务支持上下文查询、快速查询、快速查询、重建索引等功能，详情请参见查询语法与功能。
   • 日志服务支持通过查询分析语句获取多种格式的分析图表，详情请参见分析图表。
   • 日志服务支持通过仪表盘自制数据分析大盘，详情请参见仪表盘。

   例如：查询指定时间段的PV，并以表格形式表示。

后续操作

• 投递数据：您可以将采集到的数据投递到OSS、Maxcompute、EMR等云产品中进行存储或计算分析，详情请参见数据投递。
• 消费数据：您可以将采集到的数据进行消费，详情请参见实时消费。