更新时间:2025-06-19 GMT+08:00

设置云端结构化模板

云日志服务LTS目前支持的结构化模板有两种,分别为系统模板和自定义模板。

系统模板

支持多种系统模板,不支持修改系统模板的字段类型和删除字段,详情请参考表1

  1. 在云端结构化解析页面中,日志结构化方式选择“结构化模板”。
  2. 在“选择模板”下,选择“系统模板”,选择对应的系统模板,模板日志从对应的云服务接入,可以直接应用模板的数据模型作为示例日志。
  1. 选择模板后,“模板详情”中会自动显示对应的日志解析结果。

    • 结构化配置时,如果使用系统模板,则系统模板中的时间为自定义日志时间。支持通过模板名称搜索模板,方便用户快速查询模板信息。
    • string类型的字段不支持使用运算符(>=<)或 in 语法进行范围查询,建议使用星号(*)或问号(?)进行模糊查询。需要重新配置结构化,将该字段修改为数字类型。
    表1 系统模板

    模板名称

    模板说明

    字段类型是否可修改

    字段是否可删除

    系统模板的请求参数

    ELB模板

    根据ELB资料中提供的日志字段被定义。

    ELB

    VPC模板

    根据VPC资料中提供的日志字段被定义。

    VPC

    CTS模板

    字段名称为json日志中的key。

    CTS

    APIG模板

    根据APIG资料中提供的日志字段被定义。

    APIG

    DCS审计日志

    根据DCS资料中提供的日志字段被定义。

    DCS_AUDIT

    TOMCAT

    根据TOMCAT官网提供的字段名称进行nginx解析的名称。

    TOMCAT

    NGINX

    根据NGINX资料中提供的日志字段被定义。

    NGINX

    GAUSSV5审计日志

    根据GAUSSV5资料中提供的日志字段被定义。

    GAUSSDB_OPENGAUSS_AUDIT

    DDS审计日志

    根据DDS资料中提供的日志字段被定义。

    DDS_AUDIT

    DDS错误日志

    根据DDS资料中提供的日志字段被定义。

    MONGODB_ERROR

    DDS慢日志

    根据DDS资料中提供的日志字段被定义。

    MONGODB_SLOW

    CFW访问控制日志

    根据CFW资料中提供的日志字段被定义。

    CFW_ACCESS

    CFW攻击日志

    根据CFW资料中提供的日志字段被定义。

    CFW_ATTACK

    CFW流量日志

    根据CFW资料中提供的日志字段被定义。

    CFW_FLOW

    MYSQL错误日志

    根据MYSQL资料中提供的日志字段被定义。

    MYSQL_ERROR

    MYSQL慢日志

    根据MYSQL资料中提供的日志字段被定义。

    MYSQL_SLOW

    POSTGRESQL慢日志

    根据POSTGRESQL慢日志资料中提供的日志字段被定义。

    POSTGRESQL_SLOW

    POSTGRESQL错误日志

    根据POSTGRESQL错误日志资料中提供的日志字段被定义。

    POSTGRESQL_ERROR

    SQLSERVER错误日志

    根据SQLSERVER资料中提供的日志字段被定义。

    SQLSERVER_ERROR

    GeminiDB Redis慢日志

    根据GeminiDB Redis资料中提供的日志字段被定义。

    GAUSSDB_REDIS_SLOW

    CDN

    根据CDN资料中提供的日志字段被定义。

    CDN

    SMN

    根据SMN资料中提供的日志字段被定义。

    SMN

    GAUSSDB_MYSQL错误日志

    根据GAUSSDB_MYSQL资料中提供的日志字段被定义。

    GAUSSDB_MYSQL_ERROR

    GAUSSDB_MYSQL慢日志

    根据GAUSSDB_MYSQL资料中提供的日志字段被定义。

    GAUSSDB_MYSQL_SLOW

    ER企业路由器

    根据ER企业路由器资料中提供的日志字段被定义。

    ER

    MYSQL审计日志

    根据MYSQL审计日志资料中提供的日志字段被定义。

    MYSQL_AUDIT

    GeminiDB Cassandra慢日志

    根据GeminiDB Cassandra慢日志资料中提供的日志字段被定义。

    GAUSSDB_CASSANDRA_SLOW

    GeminiDB Mongo慢日志

    根据GeminiDB Mongo慢日志资料中提供的日志字段被定义。

    GAUSSDB_MONGO_SLOW

    GeminiDB Mongo错误日志

    根据GeminiDB Mongo错误日志资料中提供的日志字段被定义。

    GAUSSDB_MONGO_ERROR

    WAF访问日志

    根据WAF访问日志资料中提供的日志字段被定义。

    WAF_ACCESS

    WAF攻击日志

    根据WAF攻击日志资料中提供的日志字段被定义。

    WAF_ATTACK

    DMS重平衡日志

    根据DMS重平衡日志资料中提供的日志字段被定义。

    DMS_REBALANCED

    CCE审计日志

    根据CCE审计日志资料中提供的日志字段被定义。

    CCE_AUDIT

    CCE事件日志

    根据CCE事件日志资料中提供的日志字段被定义。

    CCE_EVENT

    CCE NGINX-INGRESS日志

    根据CCE NGINX-INGRESS日志资料中提供的日志字段被定义。

    -

    NGINX_INGRESS

    GeminiDB Redis审计日志

    根据GeminiDB Redis审计日志资料中提供的日志字段被定义。

    GAUSSDB_REDIS_AUDIT

    influx慢日志

    根据influx慢日志资料中提供的日志字段被定义。

    GAUSSDB_INFLUX_SLOW

    METRIC系统日志

    根据日志生成指标任务过滤的监控日志字段被定义。

    SYS_LOG_FOR_LOG2METRIC

    Microgateway

    根据Microgateway应用网关提供的日志字段被定义。

    MICROGATEWAY

    GeminiDB Mongo接口审计日志

    根据GeminiDB Mongo接口审计日志提供的日志字段被定义。

    GEMINIDB_MONGODB_AUDIT

    CloudTable Doris审计日志

    根据CloudTable Doris审计日志提供的日志字段被定义。

    CLOUD_TABLE_DORIS

    CoreDNS日志

    根据CoreDNS日志提供的日志字段被定义。

    COREDNS_LOG

    TaurusDB审计日志

    根据TaurusDB审计日志提供的日志字段被定义。

    TAURUS_DB_AUDIT

    Workspace用户操作日志

    根据Workspace用户操作日志提供的日志字段被定义。

    WKS_USER_EVENT

  2. 单击“保存”完成结构化配置。

自定义模板

在“选择模板”下,选择“自定义模板”,选择已有的结构化模板。自定义模板主要来源有以下两种:
  • 在配置正则分析、JSON、分隔符或Nginx方式时,单击左下角的“另存为模板”,系统会弹出“另存为模板”页面,输入模板名称,单击“确定”,保存自定义模板。该模板会在“自定义模板”下的模板列表展示。
  • 新增结构化模板,具体操作如下:
    1. 在“选择模板”下,选择“自定义模板”,单击“新增结构化模板”。
    2. 在“新增结构化模板”页面中,选择正则分析、JSON、分隔符或Nginx方式,进行配置。
    3. 配置完成后输入模板名称,单击“确定”,完成自定义模板的保存,会在“自定义模板”下的模板列表展示。