前提条件

• 已创建日志组。
• 已创建日志流。
• 已安装ICAgent。

操作步骤

1. 在云日志服务管理控制台，单击日志组名称，日志将被采集至该日志组。
2. 单击日志流名称，日志将被采集至该日志流。
3. 在左侧导航栏单击“日志接入-主机接入”
4. 单击“新增路径”，进入“新增采集配置”页面。
   图1 采集配置
   
5. 在“添加主机”步骤，选择“Linux主机”或“Windows主机”，然后勾选您需要收集日志的主机名，单击“下一步”。
6. 在“配置采集路径”步骤，添加您需要收集日志路径，LTS按照配置的路径进行日志采集。当选择Window主机采集日志时，需要开启“采集Windows事件日志”，并且可以设置“日志类型”、“首次采集时间偏移量”、“事件等级”来过滤采集您所需要的日志内容。
   图2 配置采集路径
   
   • 采集路径支持递归路径，**表示递归5层目录。

     示例：采集路径配置为 /var/logs/**/a.log，日志匹配如下：

     /var/logs/1/a.log 
     /var/logs/1/2/a.log
     /var/logs/1/2/3/a.log
     /var/logs/1/2/3/4/a.log
     /var/logs/1/2/3/4/5/a.log

     

     • Windows环境日志采集路径暂不支持递归路径，配置样例：C:\var\service\a.log。
     • 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。
     • 采集路径中只能出现一次**，不能出现两个及以上。正确示例：/var/logs/**/a.log；错误示例：/opt/test/**/log/**。
     • 采集路径中第一个层级不允许为**（避免误采集系统文件），错误示例：/**/test。
   • 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。
     

     • Windows环境日志采集路径暂不支持模糊匹配，配置样例：C:\var\service\a.log。
     • 如果配置了C:/windows/system32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。
     • 示例1：采集路径配置为 /var/logs/*/a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如：

       /var/logs/1/a.log

       /var/logs/2/a.log

     • 示例2：采集路径配置为 /var/logs/service-*/a.log，日志匹配示例：

       /var/logs/service-1/a.log

       /var/logs/service-2/a.log

     • 示例3：采集路径配置为 /var/logs/service/a*.log，日志匹配示例：

       /var/logs/service/a1.log

       /var/logs/service/a2.log

   • 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；

     如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。

   

   • 请注意您的敏感信息是否在收集范围内。
   • 当主机选择“Windows主机”时，如需采集系统日志，需要在“配置采集路径”环节，开启“采集Windows事件日志”。
   • windows事件日志采集不能重复配置，即相同主机下，即使跨日志组和日志流，也只能配置一次。
   • LTS暂不支持采集PostgreSQL（数据库）实例的日志，目前只支持采集安装在ECS（主机）实例的日志。
   • 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能在不同的日志流重复配置，否则可能会导致日志采集异常。
   • 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。
   • 只支持文本类文件的采集。
   • 配置的文件的最后修改时间和当前时间差如果已超过12小时，则不会采集。
7. 单击“下一步”，进入“配置采集信息”步骤。

   表1 日志采集信息

   名称	说明
   日志格式	单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。
   日志时间	系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明： 日志采集时间：Agent采集日志，并且发送到云日志服务的时间；日志打印时间：系统产生并打印日志的时间。 Agent采集日志并发送日志到云日志平台的频率为1秒钟。
   	时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：2019-01-01 23:59:59，时间通配符应该填写为：YYYY-MM-DD hh:mm:ss。 如果日志中的时间格式为：19-1-1 23:59:59，时间通配符应该填写为：YY-M-D hh:mm:ss。 说明： 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY - year (19) YYYY - year (2019) M - month (1) MM - month (01) D - day (1) DD - day (01) hh - hours (23) mm - minutes (59) ss - seconds (59) hpm - hours (03PM) h:mmpm - hours:minutes (03:04PM) h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00)
   分行模式	日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。
   正则表达式	此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。

   

   时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。例如：时间通配符配置为：YYYY-MM-DD hh:mm:ss，日志内容为[2019-01-01 23:59:59]，将会匹配失败。如果没有特殊需求，建议使用单行日志-系统时间模式即可。

8. 单击“确认”，完成日志采集规则配置。此时，云日志服务将按照设定的采集规则进行日志采集。

   日志成功采集后，如果您的日志采集路径等发生变化，还可以修改日志采集配置。