更新时间:2025-08-11 GMT+08:00

基本概念

日志管理

表1 关于日志管理的术语

术语

说明

云日志服务

云日志服务(Log Tank Service,LTS)可以提供日志收集、分析、存储等服务。用户可以通过云日志服务快速高效地进行设备运维管理、用户业务趋势分析、安全监控审计等操作。

更多信息请参考什么是云日志服务

日志

日志是计算机系统、应用系统或服务在运行过程中产生的带有时间戳的记录数据,用于描述系统内部状态、用户操作、关键事件或异常情况。例如用户操作日志、接口访问日志、系统错误日志等。日志通常以结构化文本或二进制数据的形式存储在应用系统所在的机器上,一条系统运行记录对应的日志可能为一行文本(单行日志),也可能为多行文本(多行日志)。

日志可通过ICAgent插件、云服务接入、自建软件接入、API接入等多种方式上报到LTS 。

日志组

日志组(LogGroup)是云日志服务进行日志管理的基本单位,用于对日志流进行分类,一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据,仅方便用户管理日志流。

更多信息请参考管理日志组

日志流

日志流(LogStream)是日志读写的基本单位。日志采集后,以日志流为单位,将不同类型的日志分类存储在不同的日志流上,方便对日志进一步分类管理。如果日志较多,需要分门别类,建议您创建多个日志流,并给日志流做好命名,方便后续快速查找日志。

更多信息请参考管理日志流

标签

标签(Tag) 是一种用于分类、标记或描述数据、对象或内容的元数据(Metadata)。每个标签由“标签键”和“标签值”组成,用于快速识别、检索和管理目标对象。

LTS支持为日志组、日志流、日志接入、主机组、告警规则添加标签。

终端节点(Endpoint)

终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同。

您可以从地区和终端节点中查询LTS不同区域的终端节点。

访问密钥

访问密钥(Access Key ID/Secret Access Key,简称AK/SK)包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,是您在华为云的长期身份凭证,您可以通过访问密钥对华为云API的请求进行签名。华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。

更多信息请参考访问密钥

区域(Region)

区域(Region)从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。

区域(Region)是指数据中心所在的区域,不同地域之间无法通过内网进行数据流转。云日志服务LTS基于数据中心提供服务。您可根据自己的业务场景以及日志数据所在的地理位置选择就近的区域,以降低日志数据上报及访问延时。

标准存储

标准存储是一种提供高可用性、高读写性能的数据存储方式,能够快速响应用户的读写请求,满足业务对数据实时访问的需求。适用于对数据访问频率高、实时性要求强的业务场景。

冷存储

冷存储主要用于长期保存不经常访问的数据,对数据的读写性能要求较低,存储成本比标准存储低。适用于对成本敏感、数据访问频率低的场景,如企业的历史数据归档、视频监控数据长期存储、科研数据备份等。

更多信息请参考智能冷存储

分区

分区用于控制日志流的读写能力,数据必定保存在某一个分区中。每个分区支持5MB/S写流量,10MB/S读流量;当读写流量超过分区的读写能力时,LTS会自动扩容读写分区数量,您也可以手动扩容读写分区数量,来提供更高的读写能力。

更多信息请参考管理日志流

日志接入

表2 关于日志接入的术语

术语

说明

ICAgent

ICAgent是云日志服务的日志采集工具,运行在需要采集日志的主机中。

UniAgent

统一数据采集Agent(简称UniAgent)完成统一插件生命周期管理,并为LTS提供指令下发功能,如脚本下发和执行。UniAgent本身不提供数据采集能力,运维数据由不同的插件分工采集,可在接入中心安装对应的插件,并创建采集任务,来进行指标数据采集。

ICAgent结构化解析配置

ICAgent结构化解析配置是在采集侧做结构化,支持插件组合解析,单个日志流的多个采集配置支持不同结构化解析规则。

更多信息请参考配置ICAgent结构化解析

云端结构化解析配置

云端结构化解析是通过不同的日志提取方式将日志流中的日志进行结构化,云端结构化解析会消耗LTS服务端算力,未来会按照日志大小收取日志加工流量费用。

更多信息请参考设置日志云端结构化解析

主机

主机是具备独立计算能力和网络标识的物理或虚拟设备,它是软件运行的载体,也是网络通信的基本单元。对于云日志服务LTS来说,主机类型分别是区域内主机或区域外主机。

  • 区域内主机是指用户登录云日志服务控制台所在Region区内的主机,例如在华为云购买的弹性云服务器。

    更多信息请参考安装ICAgent(区域内主机)

  • 区域外主机指的是华为云非当前Region或非华为云主机,例如自建IDC(Internet Data Center,互联网数据中心)、第三方云厂商或华为云跨Region主机等。

    更多信息请参考安装ICAgent(区域外主机)

主机组

主机组是对主机进行虚拟分组的单位。一个主机组可以同时添加多个主机,便于分类管理,同时提升配置多个主机日志采集的效率。云日志服务支持通过一个接入配置来采集多台主机上的日志,您可以将这些主机加入到同一个主机组,并将该主机组关联至对应的接入配置中,配置日志接入时以主机组为单位下发采集配置,方便您对多台主机日志进行采集。

更多信息请参考管理LTS主机组

日志搜索与分析

表3 关于日志搜索与分析的术语

术语

说明

日志搜索

通过LTS搜索语法指定过滤规则,返回符合搜索条件的日志。

更多信息请参考搜索语法介绍

日志分析

在LTS搜索语法的基础上,使用SQL分析语法进行日志分析,支持通过统计图表或仪表盘可视化展示分析结果。

更多信息请参考日志可视化概述

搜索与分析语句

搜索与分析语句格式为“查询语句|分析语句”,使用“|”进行分割。查询语句可以单独使用,分析语句必须与查询语句一起使用。即分析功能是基于查询结果或全量数据进行的。

说明:

搜索与分析语句是属于管道符搜索方式,该功能仅支持白名单用户使用,如有需要请提交工单申请。

索引

索引是一种数据存储结构,由关键词和指向实际数据的逻辑指针组成,用于快速对日志数据进行查询,类似于数据的目录。通过配置索引后,才能对日志进行查询和分析操作。不同的索引配置,则会产生不同的查询和分析结果,请根据您的需要,合理配置索引。

更多信息请参考创建LTS日志索引

云日志服务提供如下两种索引类型:

  • 全文索引:日志服务根据您设置的分词符将整条日志拆分成多个词并构建索引。在查询时,字段名称(KEY)和字段值(Value)都是普通文本。
  • 字段索引:配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围。

分词

分词是指将连续的日志文本分解成有意义的词语的过程。

由于日志全文很长,为了便于检索,需要将日志切分成独立、可搜索的词。日志切分由分词符实现,这些符号决定了日志文本内容被切分的位置。每个片段称之为一个“词”,而这个过程称之为“分词”。

更多信息请参考设置LTS日志内容分词

SQL分析语法

使用SQL分析语法进行日志分析,通过统计图表或仪表盘可视化展示分析结果。

更多信息请参考SQL查询语法概述

SQL分析语法(管道符)

使用SQL分析语法(管道符)日志分析,通过统计图表或仪表盘可视化展示分析结果。

更多信息请参考SQL函数

日志告警

表4 关于日志告警的术语

术语

说明

告警

告警是指在系统、设备或服务运行过程中,当检测到异常状态、潜在问题或满足预设条件时,自动触发的通知机制。它是监控体系中的关键组成部分,提供告警信息帮助运维人员定位和解决问题。

告警规则

用于设置触发告警的配置规则,例如查询条件、检测规则、统计周期、通知频率和通知渠道等信息。

更多信息请参考配置日志告警规则

消息模板

消息模板是告警通知消息的文字模板,支持通过变量引用告警属性。使用消息模板发送告警通知消息时,系统会自动将模板变量替换为告警规则中的内容。

更多信息请参考在LTS页面创建消息模板

告警通知规则

告警通知规则是关联消息通知服务SMN主题和消息模板的集合,也是告警规则中的一个参数。当触发告警后,自动根据消息模板内容以短信,手机,邮件等多种形式发送告警通知。

消息通知服务SMN主题是消息发布或客户端订阅通知的特定事件类型。

更多信息请参考创建告警通知规则

日志消费与加工

表5 关于日志消费与加工的术语

术语

说明

指标

指标(Metric) 是用于衡量系统、服务、业务或资源状态的数值数据,例如CPU 利用率、内存使用率、访问吞吐量等。指标一般以时间序列的形式存储,用于监控、分析和告警,帮助理解系统的运行状况和性能表现。

生成指标规则

生成指标规则就是通过在LTS设置单个日志过滤条件或通过添加关联关系和添加组设置多个日志过滤条件,保留符合条件的日志,对用户特定时间范围内已结构化的日志进行动态统计,并将统计结果动态呈现到AOM的Prometheus实例。

更多信息请参考日志生成指标

定时SQL

使用标准的SQL语法分析源日志流的日志内容,按照调度规则周期性执行日志分析,然后将分析结果存储到LTS日志流或AOMPrometheus实例,实现日志数据的转换、聚合、可视化。

更多信息请参考使用定时SQL进行日志加工

函数加工

使用FunctionGraph服务提供的函数模板或自定义函数进行日志加工。

更多信息请参考使用FunctionGraph服务提供的函数模板进行日志加工