日志服务：一次性采集主机文本日志

配置步骤：

1. 在日志库页面，单击目标LogStore名称前的展开。

2. 单击数据接入 > Logtail配置，在Logtail一次性配置页签下，单击添加Logtail配置。

3. 在快速数据接入弹框中，单击一次性文件采集 - 主机卡片上的立即接入。

4. 在机器组配置页面，配置如下参数：

   • 使用场景：主机场景

   • 安装环境：ECS

   • 配置机器组：根据目标服务器的LoongCollector安装情况与机器组配置状态，选择对应操作：

     • 已安装LoongCollector且已加入某个机器组，直接在源机器组列表中勾选，将其添加至应用机器组列表，无需重复创建。

     • 未安装LoongCollector，单击创建机器组：

       以下步骤将引导您完成LoongCollector的一键自动安装并创建机器组。

       1. 系统会自动列出与 Project 同地域的 ECS 实例，勾选需要采集日志的一台或多台实例。

       2. 单击安装并创建为机器组，系统将自动在所选ECS实例上安装LoongCollector。

       3. 配置机器组名称并单击确定。

       说明

       如果安装失败或一直处于等待中，请检查ECS地域是否与Project相同。

     • 如需将已安装LoongCollector的服务器加入已有机器组，请参考常见问题如何将服务器加入到已有机器组？

5. 检查心跳状态：单击下一步，如页面出现机器组心跳情况。查看心跳状态，若为OK表示机器组连接正常，单击下一步，进入Logtail配置页面。

   若为FAIL，可能是初次建立心跳需要花费一些时间，请等待两分钟左右，再刷新心跳状态。若刷新后仍为FAIL，请参考机器组心跳连接为fail进一步排查。

全局配置：

• 配置名称：自定义采集配置名称，在其所属Project内必须唯一。创建成功后，无法修改。命名规则：

  • 仅支持小写字母、数字、连字符（-）和下划线（_）。

  • 必须以小写字母或者数字作为开头和结尾。

• 执行超时时间：默认是600s（10分钟），范围600-604800 秒（10 分钟~7天），单位为秒。若未能在此时间内完成采集，任务会强制停止，不再继续采集未完成部分。

  重要

  配置下发需注意：更新后配置有效期会重置，需确认机器组范围准确，且上次任务执行时间未超过执行超时时间，避免重复下发或非预期数据上报。

• 更新时强制重新运行任务：默认为关闭。

  • 关闭：

    • 更新执行超时时间或输入配置之外的采集配置参数时，系统将延续当前的采集进度，不会从头执行采集任务，保持采集的连续性。

    • 若修改执行超时时间或输入配置，系统会重新执行采集任务。

  • 开启：更新采集配置时强制重新执行采集任务，确保所有数据的处理与上报符合最新改动的要求。注意：更新前已经采集的部分数据不会消失，如需清理请参考日志服务软删除）。

输入配置：

• 类型：一次性文件采集（3.3及以上版本LoongCollector可用）。

• 文件路径：日志采集的路径。

  说明

  一次性采集的文件列表以及每个文件的大小以LoongCollector拉取到配置时的状态为准，后续新增的文件或文件有追加写的情况均不会采集。

  • Linux：以“/”开头，如/data/mylogs/**/*.log，表示/data/mylogs目录下所有后缀名为.Log的文件。

  • Windows：以盘符开头，如C:\Program Files\Intel\**\*.Log。

• 最大目录监控深度：文件路径中通配符**匹配的最大目录深度。默认为0，表示只监控本层目录。

场景二：结构化日志

192.168.*.* - - [15/Apr/2025:16:40:00 +0800] "GET /nginx-logo.png HTTP/1.1" 0.000 514 200 368 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.*.* Safari/537.36"

body_bytes_sent: 368
http_referer: -
http_user_agent : Mozi11a/5.0 (Nindows NT 10.0; Win64; x64) AppleMebKit/537.36 (KHTML, like Gecko) Chrome/131.0.x.x Safari/537.36
remote_addr:192.168.*.*
remote_user: -
request_length: 514
request_method: GET
request_time: 0.000
request_uri: /nginx-logo.png
status: 200
time_local: 15/Apr/2025:16:40:00

配置步骤：在Logtail配置页面的处理配置区域

1. 添加解析插件：单击添加处理插件，根据实际格式配置正则解析、分隔符解析、JSON 解析等插件。此处以采集NGINX日志为例，选择原生处理插件 > NGINX模式解析。

2. NGINX日志配置：将 Nginx 服务器配置文件（nginx.conf）中的 log_format 定义完整地复制并粘贴到此文本框中。

   示例：

   log_format main  '$remote_addr - $remote_user [$time_local] "$request" ''$request_time $request_length ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent"';

   重要

   此处的格式定义必须与服务器上生成日志的格式完全一致，否则将导致日志解析失败。

3. 通用配置参数说明：以下参数在多种数据解析插件中都会出现，其功能和用法是统一的。

   • 原始字段：指定要解析的源字段名。默认为content，即采集到的整条日志内容。

   • 解析失败时保留原始字段：推荐开启。当日志无法被插件成功解析时（例如格式不匹配），此选项能确保原始日志内容不会丢失，而是被完整保留在指定的原始字段中。

   • 解析成功时保留原始字段：选中后，即使日志解析成功，原始日志内容也会被保留。

配置步骤：全局配置 > 其他全局配置 > 日志主题类型：选择Topic生成方式，支持如下三种类型：

• 机器组Topic：采集配置应用于多个机器组时，LoongCollector 会自动使用服务器所属的机器组名称作为 __topic__ 字段上传。适用于按主机划分日志场景。

• 自定义：格式为customized://<自定义主题名>，例如 customized://app-login。适用于固定业务标识的静态主题场景。

• 文件路径提取：从日志文件的完整路径中提取关键信息，动态标记日志来源。适用于多用户/应用共用相同日志文件名但路径不同的情况。当多个用户或服务将日志写入不同顶级目录，但下级路径和文件名一致时，仅靠文件名无法区分来源，例如：

  /data/logs
  ├── userA
  │   └── serviceA
  │       └── service.log
  ├── userB
  │   └── serviceA
  │       └── service.log
  └── userC
      └── serviceA
          └── service.log

  此时您可以配置文件路径提取，并使用正则表达式从完整路径中提取关键信息，将匹配结果作为日志主题（Topic）上传至LogStore。

  文件路径提取规则：基于正则表达式的捕获组

  在配置正则表达式时，系统根据捕获组的数量和命名方式自动决定输出字段格式，规则如下：

  文件路径的正则表达式中，需要对正斜线（/）进行转义。

  捕获组类型	适用场景	生成字段	正则示例	匹配路径示例	生成字段示例
  单捕获组（仅一个 (.*?)）	仅需一个维度区分来源（如用户名、环境）	生成__topic__字段	\/logs\/(.*?)\/app\.log	/logs/userA/app.log	__topic__：userA
  多捕获组-非命名（多个 (.*?)）	需要多个维度区分来源但无需语义标签	生成tag字段__tag__:__topic_{i}__，其中{i}为捕获组的序号	\/logs\/(.*?)\/(.*?)\/app\.log	/logs/userA/svcA/app.log	__tag__:__topic_1__userA； __tag__:__topic_2__svcA
  多捕获组-命名（使用 (?P<name>.*？)	需要多个维度区分来源且希望字段含义清晰、便于查询与分析	生成tag字段__tag__:{name}	\/logs\/(?P<user>.*?)\/(?P<service>.*?)\/app\.log	/logs/userA/svcA/app.log	__tag__:user:userA； __tag__:service:svcA

如何将服务器加入到已有机器组？

当您已有配置好的机器组，希望将新的服务器（如新部署的 ECS 或自建服务器）加入其中并继承其采集配置时，可通过以下步骤完成绑定。

操作前提：

• 已存在一个配置完成的机器组。

• 新服务器已安装LoongCollector。

操作步骤：

1. 查看目标机器组标识：

   1. 在目标Project页面，单击左侧导航栏资源 > 机器组。

   2. 进入机器组页面，单击目标机器组名称。

   3. 在机器组配置页面，查看机器组标识。

2. 根据标识类型执行对应操作：

   说明

   同一机器组中不允许同时存在Linux服务器、Windows服务器，请勿在Linux和Windows服务器上配置相同的用户自定义标识。一个服务器可配置多个用户自定义标识，标识之间以换行符分隔。

   • 类型一：机器组标识为IP地址

     1. 在服务器上，执行如下命令打开app_info.json文件，查看ip值。

        cat /usr/local/ilogtail/app_info.json

     2. 在目标机器组配置页面，单击修改，填写服务器的IP地址，多个IP之间使用换行符分隔。

     3. 配置完成后，单击保存，并确认心跳状态。心跳为OK后，服务器将自动应用机器组的采集配置。

        若心跳状态为FAIL，请参考常见问题机器组心跳连接为fail进一步排查。

   • 类型二：机器组标识为用户自定义标识

     根据操作系统，向指定文件写入与目标机器组一致的用户自定义标识字符串：

     若目录不存在需手动创建。文件路径和名称由日志服务固定，不可自定义。

     • Linux：向/etc/ilogtail/user_defined_id文件写入自定义字符串 。

     • Windows：向C:\LogtailData\user_defined_id写入自定义字符串。

通过正则表达式提取日志字段，并将日志解析为键值对形式，每个字段都可以被独立查询和分析。

127.0.0.1 - - [16/Aug/2024:14:37:52 +0800] "GET /wp-admin/admin-ajax.php?action=rest-nonce HTTP/1.1" 200 41 "http://www.example.com/wp-admin/post-new.php?post_type=page" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"

body_bytes_sent: 41
http_referer: http://www.example.com/wp-admin/post-new.php?post_type=page
http_user_agent: Mozilla/5.0 (Windows NT 10.0; Win64; ×64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0
remote_addr: 127.0.0.1
remote_user: -
request_method: GET
request_protocol: HTTP/1.1
request_uri: /wp-admin/admin-ajax.php?action=rest-nonce
status: 200
time_local: 16/Aug/2024:14:37:52 +0800

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > 正则解析：

• 正则表达式：用于匹配日志，支持自动生成或手动输入：

  • 自动生成：

    • 单击自动生成正则表达式。

    • 在日志样例中划选需要提取的日志内容。

    • 单击生成正则。

      

  • 手动输入：根据日志格式手动输入正则表达式。

  配置完成后，单击验证，测试正则表达式是否能够正确解析日志内容。

• 日志提取字段：为提取的日志内容（Value），设置对应的字段名（Key）。

通过分隔符将日志内容结构化，解析为多个键值对形式，支持单字符分隔符和多字符分隔符。

05/May/2025:13:30:28,10.10.*.*,"POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1",200,18204,aliyun-sdk-java

ip:10.10.*.*
request:POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1
size:18204
status:200
time:05/May/2025:13:30:28
user_agent:aliyun-sdk-java

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理 > 分隔符解析：

• 分隔符：指定用于切分日志内容的字符。

  示例：对于CSV格式文件，选择自定义，输入半角逗号（,）。

• 引用符：当某个字段值中包含分隔符时，需要指定引用符包裹该字段，避免错误切割。

• 日志提取字段：按分隔顺序依次为每一列设置对应的字段名称（Key）。规则要求如下：

  • 字段名只能包含：字母、数字、下划线（_）。

  • 必须以字母或下划线（_）开头。

  • 最大长度：128字节。

将Object类型的JSON日志结构化，解析为键值对形式。

{"url": "POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek********&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1", "ip": "10.200.98.220", "user-agent": "aliyun-sdk-java", "request": {"status": "200", "latency": "18204"}, "time": "05/Jan/2025:13:30:28"}

ip: 10.200.98.220
request: {"status": "200", "latency" : "18204" }
time: 05/Jan/2025:13:30:28
url: POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek******&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1
user-agent:aliyun-sdk-java

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > JSON解析：

• 原始字段：默认值为content（此字段用于存放待解析的原始日志内容）。

通过指定展开深度，将嵌套的JSON日志解析为键值对形式。

{"s_key":{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}}

0_s_key_k1_k2_k3_k41:41
0_s_key_k1_k2_k3_k4_k51:51
0_s_key_k1_k2_k3_k4_k52:52

1_s_key:{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择拓展处理插件 > 展开JSON字段：

• 原始字段：需要展开的原始字段名，例如content。

• JSON展开深度：JSON对象的展开层级。0表示完全展开（默认值），1表示当前层级，以此类推。

• JSON展开连接符：JSON展开时字段名的连接符，默认为下划线 _。

• JSON展开字段前缀：指定JSON展开后字段名的前缀。

• 展开数组：开启此项可将数组展开为带索引的键值对。

  示例：{"k":["a","b"]} 展开为  {"k[0]":"a","k[1]":"b"}。

  如果需要对展开后的字段进行重命名（例如，将 prefix_s_key_k1 改为 new_field_name），可以后续再添加一个重命名字段插件来完成映射。

使用json_extract函数，从JSON数组中提取JSON对象。

效果示例：

[{"key1":"value1"},{"key2":"value2"}]

json1:{"key1":"value1"}
json2:{"key2":"value2"}

配置步骤：在Logtail配置页面的处理配置区域，将处理模式切换为SPL，配置SPL语句，使用  json_extract函数从JSON数组中提取JSON对象。

示例：从日志字段 content 中提取 JSON 数组中的元素，并将结果分别存储在新字段 json1和 json2 中。

* | extend json1 = json_extract(content, '$[0]'), json2 = json_extract(content, '$[1]')

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

c-ip: cs-username
cs-bytes: sc-substatus
cs-method: cs-method
cs-uri-query: cs-uri-query
cs-uri-stem: cs-uri-stem
cs-username: s-port
date: #Fields:
s-computername: s-sitename
s-ip: s-ip
s-sitename: time
sc-bytes: sc-status
sc-status: c-ip
sc-win32-status: cs (User-Agent)
time: date
time-taken: sc-win32-status

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

数据脱敏

[{'account':'1812213231432969','password':'04a23f38'}, {'account':'1812213685634','password':'123a'}]

[{'account':'1812213231432969','password':'********'}, {'account':'1812213685634','password':'********'}]

对日志中的时间字段进行解析，并将解析结果设置为日志的__time__字段。

效果示例：

{"level":"INFO","timestamp":"2025-09-23T19:11:47+0800","cluster":"yilu-cluster-0728","message":"User logged in successfully","userId":"user-123"}

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > 时间解析：

• 原始字段：解析日志前，用于存放日志内容的原始字段。

• 时间格式：根据日志中的时间内容设置对应的时间格式。

• 时区：选择日志时间字段所在的时区。默认使用机器时区，即LoongCollector（Logtail）进程所在环境的时区。