本文介绍日志服务的LiveTail功能及相关操作。

前提条件

已通过Logtail采集到日志,详情请参见通过Logtail采集日志
说明 LiveTail功能仅支持Logtail采集到的日志。

背景信息

在线上运维的场景中,往往需要对日志队列中的数据进行实时监控,从最新的日志数据中提取出关键信息进而快速地分析出异常原因。在传统的运维方式中,如果需要对日志文件进行实时监控,需要在服务器上对日志文件执行tail -f命令,如果实时监控的日志信息不够直观,还需加上grep命令或者grep -v命令进行关键词过滤。日志服务在控制台提供了日志数据实时监控的交互功能LiveTail,针对线上日志进行实时监控分析,减轻运维压力。

功能优势

  • 监控日志的实时信息,按关键词过滤日志数据。
  • 结合采集配置,对采集的日志进行索引区分。
  • 日志字段做分词处理,以便查询包含分词的上下文日志。
  • 根据单条日志信息追踪到对应日志文件进行实时监控,无需连接线上机器。

使用LiveTail实时监控日志

  1. 登录日志服务控制台
  2. Project列表区域,单击目标Project。
  3. 日志存储 > 日志库页签中,单击目标Logstore。
  4. 可选:开启LiveTail。
    您可以通过以下两种方式开启LiveTail。
    • 原始日志页签中,单击目标日志前的LiveTail图标 > LiveTail,自动开启LiveTail。
    • LiveTail页签中,配置如下参数,单击开启LiveTail
      参数 说明
      来源类型 日志的来源,包括:
      • 普通日志
      • Kubernetes
      • Docker
      机器名称 日志来源服务器的名称。
      文件名称 日志文件的完整路径及文件名。
      过滤关键词 设置关键词后,只有包含关键词的日志才会显示在监控列表中。
    开启LiveTail后,将Logtail采集到的日志数据实时显示在监控列表中。最新的日志数据始终在页面底部,且滚动条默认在最下方,即显示最新数据。最多显示1000条数据,满1000条后页面自动刷新并重新填充日志数据。LiveTail统计

使用LiveTail分析日志

当日志数据存在异常需要分析时,单击停止LiveTail。LiveTail计时结束,不再实时更新日志数据,您可以对监控过程中发现的问题进行进一步分析排查。
  • 查看包含指定字段的日志内容。

    LiveTail页签中,单击指定字段的Value,跳转到原始日志页签,将异常字段的Value作为关键词筛选出与该字段相关的所有日志内容。您还可以对包含该关键字的日志进行上下文查询、查看统计图表等操作,进一步分析排查问题。

  • 根据日志分布直方图缩小查询的时间范围。

    开启LiveTail后,日志分布直方图也在同步更新。如果发现某个时段的日志分布有异常(例如日志数量显著增加时),您可以单击该时段的绿色数据块缩小查询的时间范围,查看对应时间段内所有的原始日志内容及详细的时间分布。

  • 通过列设置强调关键信息。
    LiveTail页签中,单击右上角的列设置将指定字段设置为一列,使该列的数据更加醒目。您可以将需要重点关注的数据设为一列,便于查看和判断异常。列设置
  • 对日志数据进行快速分析。
    LiveTail页签中,单击左上角的>,展开快速分析区域。快速分析的时间区间是开启LiveTail到停止LiveTail的时间段,详情请参见快速分析快速分析