- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- 授权IAM用户使用云日志服务LTS
- 购买LTS资源包
- 日志管理
-
日志接入
- 日志接入概述
- 使用ICAgent插件采集日志
-
使用云服务接入LTS
- 云服务接入LTS概述
- 应用运维管理AOM接入LTS
- API网关APIG接入LTS
- 云堡垒机CBH接入LTS
- 云防火墙CFW接入LTS
- 云审计服务CTS接入LTS
- 文档数据库服务DDS接入LTS
- 分布式消息服务Kafka版接入LTS
- 数据复制服务DRS接入LTS
- 数据仓库服务GaussDB(DWS)接入LTS
- 弹性负载均衡 ELB接入LTS
- 企业路由器ER接入LTS
- 函数工作流FunctionGraph接入LTS
- 云数据库GaussDB接入LTS
- 图引擎服务GES接入LTS
- 云数据库 TaurusDB接入LTS
- 云数据库GeminiDB接入LTS
- 云数据库GeminiDB Mongo接入LTS
- 云数据库GeminiDB Cassandra接入LTS
- 设备接入IoTDA接入LTS
- AI开发平台ModelArts接入LTS
- MapReduce服务MRS接入LTS
- 云数据库RDS for MySQL接入LTS
- 云数据库RDS for PostgreSQL接入LTS
- 云数据库RDS for SQLServer接入LTS
- 应用与数据集成平台ROMA Connect接入LTS
- 消息通知服务SMN接入LTS
- 安全云脑SecMaster接入LTS
- 对象存储服务OBS接入LTS(邀测)
- 虚拟私有云VPC接入LTS
- Web应用防火墙WAF接入LTS
- 使用API接入LTS
- 跨IAM账号接入LTS
- 使用KAFKA协议上报日志到LTS
- 使用Flume采集器上报日志到LTS
- 日志搜索与分析
- 日志可视化
- 日志告警
- 日志转储
- 日志加工
- LTS配置中心管理
- 查看LTS审计事件
- 最佳实践
- 开发指南
- API参考
- SDK参考
- 常见问题
-
更多文档
- 用户指南(阿布扎比区域)
- API参考(阿布扎比区域)
- 用户指南(巴黎区域)
- API参考(巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 视频帮助
- 通用参考
链接复制成功!
内置保留字段
在采集日志时,日志服务会将采集时间、日志类型、主机IP等信息以Key-Value对的形式添加到日志中,这些字段是云日志服务的内置字段。
说明:
- 使用API写入日志数据或添加ICAgent配置时,请不要将字段名称设置为内置保留字段,否则可能会造成字段名称重复、查询不精确等问题。
- 用户自定义日志字段名称中不能使用双下划线__,否则无法配置索引。
日志示例
如下是一条日志示例,content字段值是日志原文,其他字段是常见的一些内置保留字段。
{ "hostName":"epstest-xx518",
"hostIP":"192.168.0.31",
"clusterId":"c7f3f4a5-xxxx-11ed-a4ec-0255ac100b07",
"pathFile":"stdout.log",
"content":"level=error ts=2023-04-19T09:21:21.333895559Z",
"podIp":"10.0.0.145",
"containerName":"config-reloader",
"clusterName":"epstest",
"nameSpace":"monitoring",
"hostIPv6":"",
"collectTime":"1681896081334",
"appName":"alertmanager-alertmanager",
"hostId":"318c02fe-xxxx-4c91-b5bb-6923513b6c34",
"lineNum":"1681896081333991900",
"podName":"alertmanager-alertmanager-54d7xxxx-wnfsh",
"__time__":"1681896081334",
"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad",
"category":"LTS"
}内置保留字段说明
|
内置保留字段 |
数据格式 |
索引与统计设置 |
说明 |
|---|---|---|---|
|
collectTime |
整型,Unix时间戳(毫秒) |
索引设置:开启索引后,日志服务默认为collectTime创建字段索引,索引数据类型为long类型。 查询时输入collectTime : xxx。 |
采集时间,指日志被采集器ICAgent采集时的时间。 示例中的"collectTime":"1681896081334",转换成标准时间是2023-04-19 17:21:21 |
|
__time__ |
整型,Unix时间戳(毫秒) |
索引设置:开启索引后,日志服务默认为time创建字段索引,索引数据类型为long类型。该字段不支持查询。 |
日志时间,指的是日志在控制台页面展示的日志时间。 例如示例中的"__time__":"1681896081334",转换成标准时间是2023-04-19 17:21:21 日志时间默认使用采集时间,也支持自定义日志时间。 |
|
lineNum |
整型 |
索引设置:开启索引后,日志服务默认为lineNum创建字段索引,索引数据类型为long类型。 |
行号(偏移量),用来排序日志。 非高精度日志会根据collectTime生成,默认是collectTime * 1000000 + 1,高精度日志就是用户上报的纳秒值。 例如示例中的"lineNum":"1681896081333991900"。 |
|
category |
字符串 |
索引设置:开启索引后,日志服务默认为category创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入category: xxx。 |
日志类型,表示该日志的来源。 例如ICAgent采集的日志该字段为LTS,某云服务例如VPC上报的日志该字段为VPC。 |
|
clusterName |
字符串 |
索引设置:开启索引后,日志服务默认为clusterName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterName: xxx。 |
集群名称,k8s场景下集群名称。 例如示例中的"clusterName":"epstest"。 |
|
clusterId |
字符串 |
索引设置:开启索引后,日志服务默认为clusterId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterId: xxx。 |
集群ID,k8s场景下集群ID。 例如示例中的"clusterId":"c7f3f4a5-xxxx-11ed-a4ec-0255ac100b07"。 |
|
nameSpace |
字符串 |
索引设置:开启索引后,日志服务默认为nameSpace创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入nameSpace: xxx。 |
命名空间,k8s场景下命名空间。 例如示例中的"nameSpace":"monitoring"。 |
|
appName |
字符串 |
索引设置:开启索引后,日志服务默认为appName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入appName: xxx。 |
组件名称,k8s场景下工作负载的名称。 例如示例中的"appName":"alertmanager-alertmanager"。 |
|
serviceID |
字符串 |
索引设置:开启索引后,日志服务默认为serviceID创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入serviceID: xxx。 |
工作负载ID,k8s场景下工作负载ID。 例如示例中的"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad"。 |
|
podName |
字符串 |
索引设置:开启索引后,日志服务默认为podName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podName: xxx。 |
POD名称,k8s场景下POD名称。 例如示例中的"podName":"alertmanager-alertmanager-0"。 |
|
podIp |
字符串 |
索引设置:开启索引后,日志服务默认为podIp创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podIp: xxx。 |
pod的ip,k8s场景下pod的IP地址。 例如示例中的"podIp":"10.0.0.145"。 |
|
containerName |
字符串 |
索引设置:开启索引后,日志服务默认为containerName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入containerName: xxx。 |
容器名称,k8s场景下容器名称。 例如示例中的"containerName":"config-reloader"。 |
|
hostName |
字符串 |
索引设置:开启索引后,日志服务默认为hostName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostName: xxx。 |
主机名称,ICAgent所在主机的名称。 例如示例中的"hostName":"epstest-xx518"。 |
|
hostId |
字符串 |
索引设置:开启索引后,日志服务默认为hostId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostId: xxx。 |
主机ID,ICAgent所在主机的id,该id由ICAgent生成。 例如示例中的"hostId":"318c02fe-xxxx-4c91-b5bb-6923513b6c34"。 |
|
hostIP |
字符串 |
索引设置:开启索引后,日志服务默认为hostIP创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIP: xxx。 |
主机IP,日志采集器所在主机的ip(适用于ipv4场景) 例如示例中的"hostIP":"192.168.0.31"。 |
|
hostIPv6 |
字符串 |
索引设置:开启索引后,日志服务默认为hostIPv6创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIPv6: xxx。 |
主机IP,日志采集器所在主机的ip(适用于ipv6场景) 例如示例中的"hostIPv6":""。 |
|
pathFile |
字符串 |
索引设置:开启索引后,日志服务默认为pathFile创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入pathFile: xxx。 |
文件路径,采集的日志文件的路径。 例如示例中的"pathFile":"stdout.log"。 |
|
content |
字符串 |
索引设置:开启全文索引后,会使用全文索引定义的分词符对content字段的value进行分词;不支持将content字段配置到字段索引中。 |
日志原文 例如示例中的"content":"level=error ts=2023-04-19T09:21:21.333895559Z" |
|
logContent |
字符串 |
不支持将logContent字段配置到字段索引中。 |
不涉及 |
|
logContentSize |
整型 |
不支持将logContentSize字段配置到字段索引中。 |
不涉及 |
|
logIndexSize |
整型 |
不支持将logIndexSize字段配置到字段索引中。 |
不涉及 |
|
groupName |
字符串 |
不支持将groupName字段配置到字段索引中。 |
不涉及 |
|
logStream |
字符串 |
不支持将logStream字段配置到字段索引中。 |
不涉及 |
