Log File Parser Definition

Monitorear > Analizador de registro > Definición de analizador de archivos de registro

La página Definición de analizadores de archivos de registro define plantillas y parámetros utilizandos para analizar archivos de registro. Las definiciones se asignan posteriormente a ID de máquinas utilizando la página Analizador de registro. Inicialmente, los analizadores de registro son privados, pero pueden compartirse con otros usuarios.

El ciclo de análisis de archivos de registro

El análisis de un archivo de registro se activa cada vez que se modifica un archivo de registro. En la mayoría de los casos esto implica agregar texto nuevo al final del archivo. Para evitar escanear todo el archivo de registro desde el principio cada vez que se actualiza el archivo, el agente analiza los archivos de registro de la siguiente manera:

• Después de cada actualización el agente almacena un "favorito" de los últimos 512 bytes de un archivo de registro.
• Cuando se actualiza el archivo de registro nuevamente, el agente compara el favorito de la anterior actualización con la misma posición de bytes en la nueva actualización.
• Debido a que los archivos de registro pueden almacenarse antes de ejecutar el analizador de registro, el análisis puede incluir archivos almacenados, si éstos existen.
• Puede especificar conjuntos de archivos de registro y conjuntos de archivos almacenados, indicando los nombres de ruta completos con comodines con asterisco (*) y signos de interrogación (?). Si se especifica un conjunto de archivos el análisis empieza en el último archivo del conjunto.
• Si el texto de favoritos es el mismo en la actualización anterior y en la nueva actualización, el agente comienza a analizar el texto después del favorito..
• Si el texto del favorito no es el mismo y no se especifica ninguna ruta de archivo de registro, el agente analiza todo el archivo desde el comienzo. Si se especifica una ruta de archivo de registro, el agente busca el favorito en los archivos almacenados. Si no puede encontrarse el favorito, el agente marca como favorito el final del archivo de registro y comienza a analizarlo desde allí en el nuevo ciclo.
• Una vez que se ha completado el análisis se define el nuevo favorito en base a los últimos 512 bytes del archivo de registro recién actualizado y el proceso se repite.

Nota: El análisis de un archivo de registro no es un evento de procedimiento en sí mismo. Únicamente una nueva configuración o una reconfiguración utilizando Analizador de registro, Asignar grupos analizador o Resumen del analizador genera un procedimiento que puede ver en las pestañas de Historial de procedimientos o Procedimientos pendientes de la página Resumen de máquina.

Guardar

Seleccione Guardar para guardar cambios a una definición de analizadores de archivo de registro.

Guardar como...

Seleccione Guardar como... para guardar una definición de analizadores de archivo de registro con un nombre distinto.

Eliminar

Seleccione Eliminar para eliminar una definición de analizador de archivo de registro.

Compartir...

Puede compartir definiciones de analizador de archivos de registro de su propiedad con usuarios de VSA, roles de usuario o hacer que el procedimiento sea público para todos los usuarios.

Nombre del analizador

Ingrese el nombre del analizador.

Ruta de archivo de registro

Ingrese el nombre de ruta UNC completo o nombre de ruta de la unidad asignada en la máquina de destino del archivo de registro que quiere analizar. Puede usar comodines de asterisco (*) o signo de interrogación (?) para especificar un conjunto de archivos de registro. Si se especifica un grupo de archivo de registro, el analizador de registro comienza por el último archivo de registro. Ejemplo: \\morpheus\logs\message.log o c:\logs\message.log.

Ruta de archivo de registro

Ingrese el nombre de ruta UNC completo o nombre de ruta de la unidad asignada en la máquina de destino de los archivos almacenados que quiere analizar. Puede usar comodines de asterisco (*) o signo de interrogación (?) para especificar un conjunto de archivos almacenados. Si se especifica un grupo de archivo, el analizador de registro comienza por el último archivo de registro. Ejemplo: Si message.log se archiva diariamente en un archivo en formato messageYYYYMMDD.log, puede especificar c:\logs\message*.log.

Descripción

Ingrese una descripción para el analizador de registro.

Plantilla

La plantilla se usa para comparar con la entrada de registro en el archivo de registro para extraer los datos necesarios en los parámetros. Los parámetros están encerrados con el caracter $ en la plantilla.

Ingrse un patrón de texto y los parámetros de archivos de registro. Este patrón se usa para buscar desde el comienzo de cada línea en un archivo de registro. Si un patrón encuentra una coincidencia en el archivo de registro, los parámetros del archivo de registro en el patrón se actualizan con los valores extraídos de un archivo de registro.

Puede usar un comodin de porcentaje (%) para especifiar una cadena alfanumérica de cualquier extensión. Un parámetro de archivo de registro está encerrado entre paréntesis con el símbolo de dólar ($). Ingrese $$ para coincidir con un patrón de texto que contenga el símbolo $. Ingrese %% para coincidir con un patrón de texto que contenga un símbolo %.

Nota: Los patrones de texto de las plantillas son sensibles a las mayúsculas.

Ejemplo:

• Texto de registro: 126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: regresar código de error -1!
• Plantilla: $EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
• Resultado analizado:
  EventCode=126
Hora= 2007/10/19 12:30:30 Viernes
HostComputer=127.0.0.1
Dev=Device0
PID=123
ErrorCode=-1

Instrucciones:

• Para ingresar un caracter de tabulación en la casilla de edición de la plantilla:
  1. Copie y pegue un caracter de tabulación de los datos de registro.
  2. Use {tab} si se ingresa manualmente.
• Para crear una plantilla es más fácil copiar el texto original en la plantilla y luego reemplazar los caracteres que pueden ser ignorados con %. Luego reemplace los caracteres que se guardan en un parámetro con un nombre de parámetro.
• Asegúrese de que todos los parámetros en la plantilla estén definidos en Parámetros de archivo de registro.
• El parámetro de fecha y hora debe contener tanto la fecha como la hora de los datos de origen, de lo contrario use un parámetro tipo cadena.

Plantilla de múltiples capas

Si está tildada, las líneas múltipes de texto y los parámetros de archivos de registro se usan para analizar el archivo de registro.

Nota: La cadena de caracteres {tab} puede usarse como caracter de tabulación y {nl} puede usarse como un nuevo salto de línea. {nl} no puede usarse en una plantilla de una sola línea. % puede usarse como caracter de comodín.

Plantilla de salida

Ingrese un patrón de texto y parámetros de archivo de registro a guardar en Monitoreo de registro.

Ejemplo:

• Plantilla de salida:  Recibió error de dispositivo de $Dev$ en $HostComputer$. Código = $ErrorCode$.
• Salida de resultado: Recibió error de dispositivo desde Device0 en 127.0.0.1. Código = -1.

Aplicar

Haga clic en Aplicar para agregar o actualizar un parámetro ingresado en el campo Nombre.

Borrar todo

Haga clic en Borrar todo para eliminar todos los parámetros de la lista de parámetros.

Parámetros de archivo de registro

Nombre

Una vez que se ha creado la plantilla, es necesario definir la lista de parámetros utilizados por la plantilla. Todos los parámetros en la plantilla tienen que estar definidos, de lo contrario el análisis devuelve un error. Los parámetros disponibles son entero, enterno no firmado, largo, largo no firmado, flotante, doble, DateTime, cadena El largo del nombre de parámetro está limitado a 32 caracteres.

Ingrese el nombre de un parámetro utilizado para guardar un valor. Luego se utilizan los parámetros en los cuadros de texto Plantilla y Plantilla de salida.

Nota: No encierre entre paréntesis el nombre del parámetro con símbolos $ en el campo Nombre. Esto sólo es necesario cuando el parámetro se ingresa en los cuadros de texto Plantilla y Plantilla de salida.

Tipo

Ingrese los tipos de datos apropiados para el parámetro. Si los datos analizados desde un archivo de registro no pueden almacenarse utilizando ese tipo e datos, el parámetro queda vacío.

Formato de fecha

Si el Tipo seleccionado es Fecha Hora, ingrese un Formato de fecha.

• aa, aaaa, AA, AAAA: años de dos o cuatro dígitos
• M: mes de uno o dos dígitos
• MM: mes de dos dígitos
• MMM: nombre abreviado del mes, ej. "Ene"
• MMMM: nombre completo del mes, ej. "Enero"
• D, d: día de uno o dos dígitos
• DD, dd: día de dos dígitos
• DDD, ddd: nombre abreviado del día de la semana, ej. "Lun"
• DDDD, dddd: nombre completo del día de la semana, ej. "Lunes"
• H, h: hora de uno o dos dígitos
• HH, hh: hora de dos dígitos
• m: minutos de uno o dos dígitos
• mm : minutos de dos dígitos
• s: segundos de uno o dos dígitos
• ss: segundos de dos dígitos
• f : fracción de segundos de uno o más dígitos
• ff - fffffffff - dos a nueve dígitos
• t: marca de tiempo de un caracter, ej. "a"
• tt: marca de tiempo de dos caracteres. ej. "am"

  Nota: Los filtros de fecha y hora en las vistas y los informes se basan en la hora de la entrada de registros. Si incluye un parámetro de $Hora$ utilizando el tipo de datos Fecha Hora en su plantilla, Monitoreo de registros utiliza la hora almacenada en el parámetro $Hora$ como hora de la entrada de registros. Si no se incluye un parámetro $Hora$ en su plantilla, la hora a la que se agregó la entrada a Monitoreo de registros sirve como hora de la entrada de registro. Cada parámetro de fecha hora debe contener como mínimo los datos de mes, día, hora y segundo.

Ejemplo:

• Cadena de fecha hora: Oct 19 2007 12:30:30
• Plantilla DateTime: MMM DD AAAA hh:mm:ss

Fecha UTC

Monitoreo de registros almacena todos los valores de fecha/hora como tiempo universal, coordinado (UTC). Esto permite que las fechas y horas UTC sean asignadas automáticamente a la hora local del usuario cuando se muestran datos de Monitoreo de registro o cuando se generan informes.

Si está en blanco, los valores de fecha y hora almacenados en el parámetro de archivo de registro se convierten desde la hora local de la ID de máquina asignado al analizador de registro a UTC. Si está tildada la opción, los valores de fecha y hora almacenados en el parámetro del archivo de registro son UTC y no es necesario convertirlos.

Punto 3733: Enviar Comentario. Descargue un PDF de este libro en línea del primer punto en la tabla de contenidos.