设置结构化字段
在进行结构化配置字段提取之后,可对结构化字段进行设置,具体设置规则如下表。
表 1 结构化字段设置规则
| 日志提取方式 | 字段名称 | 字段类型是否可修改 | 字段是否可删除 |
|---|---|---|---|
| 正则分析(自动生成) | 用户自定义。名称必须以字母开始,且仅包含字母和数字。 | 是 | 是 |
| 正则分析(手动输入) | 支持在输入正则表达式时进行命名。支持使用系统默认命名field1、field2、field3……,或对其修改后的名称。 | 是 | 是 |
| JSON格式 | 智能提取字段名称,可定义别名。 | 是 | 是 |
| 分隔符 | 默认名称field1、field2、field3……,可进行修改。 | 是 | 是 |
| Nginx | 根据Nginx配置生成,可定义别名。 | 是 | 是 |
| ELB模板 | 根据ELB资料中提供的日志字段被定义。 | 否 | 否 |
| VPC模板 | 根据VPC资料中提供的日志字段被定义。 | 否 | 否 |
| CTS模板 | 字段名称为json日志中的key。 | 否 | 否 |
| APIG模板 | 根据APIG资料中提供的日志字段被定义。 | 否 | 否 |
| DCS审计日志 | 根据DCS资料中提供的日志字段被定义。 | 否 | 否 |
| TOMCAT | 根据TOMCAT官网提供的字段名称进行nginx解析的名称 | 否 | 否 |
| NGINX | 根据NGINX资料中提供的日志字段被定义。 | 否 | 否 |
| GAUSSV5审计日志 | 根据GAUSSV5资料中提供的日志字段被定义。 | 否 | 否 |
| DDS审计日志 | 根据DDS资料中提供的日志字段被定义。 | 否 | 否 |
| DDS错误日志 | 根据DDS资料中提供的日志字段被定义。 | 否 | 否 |
| DDS慢日志 | 根据DDS资料中提供的日志字段被定义。 | 否 | 否 |
| CFW访问控制日志 | 根据CFW资料中提供的日志字段被定义。 | 否 | 否 |
| CFW攻击日志 | 根据CFW资料中提供的日志字段被定义。 | 否 | 否 |
| CFW流量日志 | 根据CFW资料中提供的日志字段被定义。 | 否 | 否 |
| MYSQL错误日志 | 根据MYSQL资料中提供的日志字段被定义。 | 否 | 否 |
| MYSQL慢日志 | 根据MYSQL资料中提供的日志字段被定义。 | 否 | 否 |
| POSTGRESQL错误日志 | 根据POSTGRESQL资料中提供的日志字段被定义。 | 否 | 否 |
| SQLSERVER错误日志 | 根据SQLSERVER资料中提供的日志字段被定义。 | 否 | 否 |
| GAUSSDB_REDIS慢日志 | 根据GAUSSDB_REDIS资料中提供的日志字段被定义。 | 否 | 否 |
| CDN | 根据CDN资料中提供的日志字段被定义。 | 否 | 否 |
| SMN | 根据SMN资料中提供的日志字段被定义。 | 否 | 否 |
| GAUSSDB_MYSQL错误日志 | 根据GAUSSDB_MYSQL资料中提供的日志字段被定义。 | 否 | 否 |
| GAUSSDB_MYSQL慢日志 | 根据GAUSSDB_MYSQL资料中提供的日志字段被定义。 | 否 | 否 |
| ER企业路由器 | 根据ER企业路由器资料中提供的日志字段被定义。 | 否 | 否 |
| MYSQL审计日志 | 根据MYSQL审计日志资料中提供的日志字段被定义。 | 否 | 否 |
| GaussDBforCassandra慢日志 | 根据GaussDBforCassandra慢日志资料中提供的日志字段被定义。 | 否 | 否 |
| GaussDBforMongo慢日志 | 根据GaussDBforMongo慢日志资料中提供的日志字段被定义。 | 否 | 否 |
| GaussDBforMongo错误日志 | 根据GaussDBforMongo错误日志资料中提供的日志字段被定义。 | 否 | 否 |
| WAF访问日志 | 根据WAF访问日志资料中提供的日志字段被定义。 | 否 | 否 |
| WAF攻击日志 | 根据WAF攻击日志资料中提供的日志字段被定义。 | 否 | 否 |
| DMS重平衡日志 | 根据DMS重平衡日志资料中提供的日志字段被定义。 | 否 | 否 |
| CCE审计日志 | 根据CCE审计日志资料中提供的日志字段被定义。 | 否 | 否 |
| CCE事件日志 | 根据CCE事件日志资料中提供的日志字段被定义。 | 否 | 否 |
| GaussDBforRedis审计日志 | 根据GaussDBforRedis审计日志资料中提供的日志字段被定义。 | 否 | 否 |
| 自定义模板 | 用户自定义。 | 是 | 是 |
说明正则分析(手动输入)、JSON格式、分隔符、Nginx和自定义模板的字段名称需要满足如下要求:
只支持输入英文、数字、中划线、下划线及小数点。
不能以小数点、下划线开头或以小数点结尾。
长度为1-64个字符。
设置tag字段
设置结构化配置时,可以对日志维度信息进行tag字段设置,设置完成后可以在可视化界面对设置字段进行SQL查询。
-
在字段提取步骤中选择“tag字段”页签。
-
单击“添加字段”。
-
在tag字段列表中“字段名称”,输入需要设置 tag字段名称,例如hostIP。
说明tag字段功能上线前设置的结构化配置,在修改结构化配置进行tag字段设置时,系统tag不会带出示例字段。
-
如需添加多个字段可单击“添加字段”,继续添加。
-
设置完成后单击“保存”。
说明tag支持的系统字段包括:category、clusterId、clusterName、containerName、hostIP、hostId、hostName、nameSpace、pathFile、podName。
tag不支持的系统字段包括:groupName、logStream、lineNum、content、logContent、logContentSize、collectTime。
日志提取字段和tag字段可以同时设置。
