文档首页 > > 用户指南> 日志接入>

主机接入

主机接入

分享
更新时间:2021/04/08 GMT+08:00

将主机待采集日志的路径配置到日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往云日志服务,您可以在云日志服务控制台实时查看日志。

LTS目前只支持ECS日志采集,暂不支持容器化日志采集,如果需要采集容器化日志,可以使用AOM服务。

前提条件

操作步骤

  1. 在云日志服务管理控制台,单击日志组名称,进入日志组页面。
  2. 在日志组页面,单击日志流名称,进入日志流页面。
  3. 在左侧导航栏单击“日志接入-主机接入”
  4. 单击“新增路径”,进入“新增采集配置”页面。
    图1 采集配置
  5. 在“添加主机”步骤,选择“Linux主机”或“Windows主机”,然后勾选您需要收集日志的主机名,单击“下一步”。
  6. 在“配置采集路径”步骤,添加您需要收集日志路径,LTS按照配置的路径进行日志采集。当选择Window主机采集日志时,需要开启“采集Windows事件日志”,并且可以设置“日志类型”、“首次采集时间偏移量”、“事件等级”来过滤采集您所需要的日志内容。
    图2 配置采集路径
    • 采集路径支持递归路径,**表示递归5层目录。

      示例:采集路径配置为 /var/logs/**/a.log,日志匹配如下:

      /var/logs/1/a.log 
      /var/logs/1/2/a.log
      /var/logs/1/2/3/a.log
      /var/logs/1/2/3/4/a.log
      /var/logs/1/2/3/4/5/a.log
      • Windows环境日志采集路径暂不支持递归路径,配置样例:C:\var\service\a.log。
      • 以上示例中的/1/2/3/4/5/,表示/var/logs目录中,往里递归的5个目录层级,在这5个目录层级中只要存在a.log,都能进行日志匹配。
      • 采集路径中只能出现一次**,不能出现两个及以上。正确示例:/var/logs/**/a.log;错误示例:/opt/test/**/log/**。
      • 采集路径中第一个层级不允许为**(避免误采集系统文件),错误示例:/**/test。
    • 采集路径支持模糊匹配,匹配目录或文件名中的任何字符
      • Windows环境日志采集路径暂不支持模糊匹配,配置样例:C:\var\service\a.log。
      • 如果配置了C:/windows/system32类似的日志采集路径,但无法采集日志,请尝试打开WAF物理防火墙后重新配置。
      • 示例1:采集路径配置为 /var/logs/*/a.log,表示/var/logs/目录下,任何一个目录中存在a.log,都能进行日志匹配,例如:

        /var/logs/1/a.log

        /var/logs/2/a.log

      • 示例2:采集路径配置为 /var/logs/service-*/a.log,日志匹配示例:

        /var/logs/service-1/a.log

        /var/logs/service-2/a.log

      • 示例3:采集路径配置为 /var/logs/service/a*.log,日志匹配示例:

        /var/logs/service/a1.log

        /var/logs/service/a2.log

    • 采集路径如果配置的是目录,示例:/var/logs/,则默认可采集该路径下两层目录的后缀为“.log”、“.trace”和“.out”的文件。

      如果配置的是文件名,则直接采集对应文件,只支持文本类型的文件。

    • 请注意您的敏感信息是否在收集范围内。
    • 当主机选择“Windows主机”时,如需采集系统日志,需要在“配置采集路径”环节,开启“采集Windows事件日志”。
    • windows事件日志采集不能重复配置,即相同主机下,即使跨日志组和日志流,也只能配置一次。
    • LTS暂不支持采集PostgreSQL(数据库)实例的日志,目前只支持采集安装在ECS(主机)实例的日志。
    • 日志采集路径不能重复配置,即相同主机的同一个日志采集路径不能在不同的日志流重复配置,否则可能会导致日志采集异常。
    • 相同主机的同一个日志采集路径,如果在AOM进行了配置,则不能在LTS重复配置。
    • 只支持文本类文件的采集。
    • 配置的文件的最后修改时间和当前时间差如果已超过12小时,则不会采集。
  7. 单击“下一步”,进入“配置采集信息”步骤。
    表1 日志采集信息

    名称

    说明

    日志格式

    • 单行日志:采集的日志文件中,如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据,则选择单行日志。
    • 多行日志:采集的日志中包含像java异常的日志,如果您希望多行异常的日志显示为一条日志,正常的日志则每一行都显示为一条单独的日志数据,则选择多行日志,方便您查看日志并且定位问题。

    日志时间

    系统时间:表示系统当前时间,默认为日志采集时间,每条日志的行首显示日志的采集时间。

    说明:

    日志采集时间:Agent采集日志,并且发送到云日志服务的时间;日志打印时间:系统产生并打印日志的时间。

    Agent采集日志并发送日志到云日志平台的频率为1秒钟。

    时间通配符:用日志打印时间来标识一条日志数据,通过时间通配符来匹配日志,每条日志的行首显示日志的打印时间。

    • 如果日志中的时间格式为:2019-01-01 23:59:59,时间通配符应该填写为:YYYY-MM-DD hh:mm:ss。
    • 如果日志中的时间格式为:19-1-1 23:59:59,时间通配符应该填写为:YY-M-D hh:mm:ss。
    说明:

    如果日志中不存在年份信息,则云日志会自动补齐年份数据为当前年份数据。

    填写示例:

    YY   - year (19)     
    YYYY - year (2019)  
    M    - month (1)     
    MM   - month (01)    
    D    - day (1)       
    DD   - day (01)        
    hh   - hours (23)     
    mm   - minutes (59)   
    ss   - seconds (59)   
    hpm     - hours (03PM)
    h:mmpm    - hours:minutes (03:04PM)
    h:mm:sspm  - hours:minutes:seconds (03:04:05PM)       
    hh:mm:ss ZZZZ (16:05:06 +0100)       
    hh:mm:ss ZZZ  (16:05:06 CET)       
    hh:mm:ss ZZ   (16:05:06 +01:00)

    分行模式

    日志格式选择多行日志时,需要选择分行模式,分行模式选择“日志时间”时,是以时间通配符来划分多行日志;当选择“正则模式”时,则以正则表达式划分多行日志。

    正则表达式

    此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。

    时间通配和正则表达式均是从每行日志的开头进行严格匹配,如果匹配不上,则会默认使用系统时间上报,这样可能会和文件内容中的时间不一致。例如:时间通配符配置为:YYYY-MM-DD hh:mm:ss,日志内容为[2019-01-01 23:59:59],将会匹配失败。如果没有特殊需求,建议使用单行日志-系统时间模式即可

  8. 单击“确认”,完成日志采集规则配置。此时,云日志服务将按照设定的采集规则进行日志采集。

    日志成功采集后,如果您的日志采集路径等发生变化,还可以修改日志采集配置。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问