设置云端结构化模板
云日志服务LTS目前支持的结构化模板有两种,分别为系统模板和自定义模板。
系统模板
支持多种系统模板,不支持修改系统模板的字段类型和删除字段,详情请参考表1。
- 在云端结构化解析页面中,日志结构化方式选择“结构化模板”。
- 在“选择模板”下,选择“系统模板”,选择对应的系统模板,模板日志从对应的云服务接入,可以直接应用模板的数据模型作为示例日志。
- 选择模板后,“模板详情”中会自动显示对应的日志解析结果。
- 结构化配置时,如果使用系统模板,则系统模板中的时间为自定义日志时间。支持通过模板名称搜索模板,方便用户快速查询模板信息。
- string类型的字段不支持使用运算符(>=<)或 in 语法进行范围查询,建议使用星号(*)或问号(?)进行模糊查询。需要重新配置结构化,将该字段修改为数字类型。
表1 系统模板 模板名称
模板说明
字段类型是否可修改
字段是否可删除
系统模板的请求参数
ELB模板
根据ELB资料中提供的日志字段被定义。
否
否
ELB
VPC模板
根据VPC资料中提供的日志字段被定义。
否
否
VPC
CTS模板
字段名称为json日志中的key。
否
否
CTS
APIG模板
根据APIG资料中提供的日志字段被定义。
否
否
APIG
DCS审计日志
根据DCS资料中提供的日志字段被定义。
否
否
DCS_AUDIT
TOMCAT
根据TOMCAT官网提供的字段名称进行nginx解析的名称。
否
否
TOMCAT
NGINX
根据NGINX资料中提供的日志字段被定义。
否
否
NGINX
GAUSSV5审计日志
根据GAUSSV5资料中提供的日志字段被定义。
否
否
GAUSSDB_OPENGAUSS_AUDIT
DDS审计日志
根据DDS资料中提供的日志字段被定义。
否
否
DDS_AUDIT
DDS错误日志
根据DDS资料中提供的日志字段被定义。
否
否
MONGODB_ERROR
DDS慢日志
根据DDS资料中提供的日志字段被定义。
否
否
MONGODB_SLOW
CFW访问控制日志
根据CFW资料中提供的日志字段被定义。
否
否
CFW_ACCESS
CFW攻击日志
根据CFW资料中提供的日志字段被定义。
否
否
CFW_ATTACK
CFW流量日志
根据CFW资料中提供的日志字段被定义。
否
否
CFW_FLOW
MYSQL错误日志
根据MYSQL资料中提供的日志字段被定义。
否
否
MYSQL_ERROR
MYSQL慢日志
根据MYSQL资料中提供的日志字段被定义。
否
否
MYSQL_SLOW
POSTGRESQL慢日志
根据POSTGRESQL慢日志资料中提供的日志字段被定义。
否
否
POSTGRESQL_SLOW
POSTGRESQL错误日志
根据POSTGRESQL错误日志资料中提供的日志字段被定义。
否
否
POSTGRESQL_ERROR
SQLSERVER错误日志
根据SQLSERVER资料中提供的日志字段被定义。
否
否
SQLSERVER_ERROR
GeminiDB Redis慢日志
根据GeminiDB Redis资料中提供的日志字段被定义。
否
否
GAUSSDB_REDIS_SLOW
CDN
根据CDN资料中提供的日志字段被定义。
否
否
CDN
SMN
根据SMN资料中提供的日志字段被定义。
否
否
SMN
GAUSSDB_MYSQL错误日志
根据GAUSSDB_MYSQL资料中提供的日志字段被定义。
否
否
GAUSSDB_MYSQL_ERROR
GAUSSDB_MYSQL慢日志
根据GAUSSDB_MYSQL资料中提供的日志字段被定义。
否
否
GAUSSDB_MYSQL_SLOW
ER企业路由器
根据ER企业路由器资料中提供的日志字段被定义。
否
否
ER
MYSQL审计日志
根据MYSQL审计日志资料中提供的日志字段被定义。
否
否
MYSQL_AUDIT
GeminiDB Cassandra慢日志
根据GeminiDB Cassandra慢日志资料中提供的日志字段被定义。
否
否
GAUSSDB_CASSANDRA_SLOW
GeminiDB Mongo慢日志
根据GeminiDB Mongo慢日志资料中提供的日志字段被定义。
否
否
GAUSSDB_MONGO_SLOW
GeminiDB Mongo错误日志
根据GeminiDB Mongo错误日志资料中提供的日志字段被定义。
否
否
GAUSSDB_MONGO_ERROR
WAF访问日志
根据WAF访问日志资料中提供的日志字段被定义。
否
否
WAF_ACCESS
WAF攻击日志
根据WAF攻击日志资料中提供的日志字段被定义。
否
否
WAF_ATTACK
DMS重平衡日志
根据DMS重平衡日志资料中提供的日志字段被定义。
否
否
DMS_REBALANCED
CCE审计日志
根据CCE审计日志资料中提供的日志字段被定义。
否
否
CCE_AUDIT
CCE事件日志
根据CCE事件日志资料中提供的日志字段被定义。
否
否
CCE_EVENT
CCE NGINX-INGRESS日志
根据CCE NGINX-INGRESS日志资料中提供的日志字段被定义。
否
否
-
NGINX_INGRESS
GeminiDB Redis审计日志
根据GeminiDB Redis审计日志资料中提供的日志字段被定义。
否
否
GAUSSDB_REDIS_AUDIT
influx慢日志
根据influx慢日志资料中提供的日志字段被定义。
否
否
GAUSSDB_INFLUX_SLOW
METRIC系统日志
根据日志生成指标任务过滤的监控日志字段被定义。
否
否
SYS_LOG_FOR_LOG2METRIC
Microgateway
根据Microgateway应用网关提供的日志字段被定义。
否
否
MICROGATEWAY
GeminiDB Mongo接口审计日志
根据GeminiDB Mongo接口审计日志提供的日志字段被定义。
否
否
GEMINIDB_MONGODB_AUDIT
CloudTable Doris审计日志
根据CloudTable Doris审计日志提供的日志字段被定义。
否
否
CLOUD_TABLE_DORIS
CoreDNS日志
根据CoreDNS日志提供的日志字段被定义。
否
否
COREDNS_LOG
TaurusDB审计日志
根据TaurusDB审计日志提供的日志字段被定义。
否
否
TAURUS_DB_AUDIT
Workspace用户操作日志
根据Workspace用户操作日志提供的日志字段被定义。
否
否
WKS_USER_EVENT
- 单击“保存”完成结构化配置。
自定义模板
- 在配置正则分析、JSON、分隔符或Nginx方式时,单击左下角的“另存为模板”,系统会弹出“另存为模板”页面,输入模板名称,单击“确定”,保存自定义模板。该模板会在“自定义模板”下的模板列表展示。
- 新增结构化模板,具体操作如下:
- 在“选择模板”下,选择“自定义模板”,单击“新增结构化模板”。
- 在“新增结构化模板”页面中,选择正则分析、JSON、分隔符或Nginx方式,进行配置。
- 配置完成后输入模板名称,单击“确定”,完成自定义模板的保存,会在“自定义模板”下的模板列表展示。