Next Topic

Previous Topic

Définition de l'analyseur de fichier journal

Surveillance > Analyseur de journal > Définition de l'analyseur de fichier journal

La page Définition de l'analyseur de fichier journal permet de définir les modèles et les paramètres utilisés pour analyser les fichiers journaux. Les définitions sont affectées aux ID d'ordinateur dans la page Analyseur de journal. Les analyseurs de journal dont d'abord privés. Ceci dit, vous pouvez les partager avec d'autres administrateurs.

Cycle d'analyse du fichier journal

L'analyse d'un fichier journal est déclenchée à chacune de ses modifications. Dans la plupart des cas, il suffit d'ajouter du nouveau texte à la fin du fichier. Pour éviter l'analyse du fichier journal dans son intégralité à chaque mise à jour, l'agent analyse les fichiers journaux comme suit :

  • Après chaque mise à jour, l'agent stocke un « signet » des 512 derniers octets d'un fichier journal.
  • Lors de la nouvelle mise à jour du fichier journal, l'agent compare le signet de l'ancienne mise à jour à la même position en nombre d'octets de la nouvelle mise à jour.
  • Sachant que vous pouvez archiver les fichiers journaux avant l'exécution de l'analyseur, l'analyse peut porter sur les fichiers d'archive existants.
  • Vous pouvez spécifier les jeux de fichiers journaux et de fichiers d'archive en indiquant les chemins d'accès complets avec un astérisque (*) et un point d'interrogation (?). Si vous avez spécifié un jeu de fichiers, l'analyseur commence par le dernier fichier.
  • Si le texte du signet est identique dans les mises à jour ancienne et récente, l'agent commence l'analyse du texte après le signet.
  • Si le texte du signet n'est pas identique et si aucun chemin d'accès au fichier journal d'archives n'est spécifié, l'agent analyse le fichier journal dans son intégralité depuis le début. Si un fichier journal d'archives a été spécifié, l'agent recherche le signet dans les fichiers d'archive. Si le signet est introuvable, l'agent en insère un à la fin du fichier journal et démarre l'analyse depuis cet emplacement lors du prochain cycle.
  • Après l'analyse, un nouveau signet est défini en fonction des 512 derniers octets du fichier journal mis à jour. Le processus se répète.

Remarque: l'analyse d'un fichier journal n'est pas un événement de script en soi. Seule une nouvelle configuration, ou reconfiguration dans Analyseur de journal, Affecter les jeux d'analyse ou Récapitulatif de l'analyseur génère un script visible dans les onglets Historique des scripts ou Script en attente sur la page Récapitulatif d'ordinateur.

Enregistrer

Sélectionnez Enregistrer pour enregistrer les modifications apportées à une définition de l'analyseur du fichier journal.

Enregistrer sous...

Sélectionnez Enregistrer sous... pour enregistrer une définition de l'analyseur du fichier journal sous un autre nom.

Supprimer

Sélectionnez Supprimer pour supprimer une définition de l'analyseur du fichier journal.

Partager...

Vous pouvez partager vos définitions de l'analyseur du fichier journal avec d'autres administrateurs, rôles d'administrateur ou encore les rendre publiques afin que tous les administrateurs puissent les voir.

Nom de l'analyseur

Saisissez le nom de l'analyseur.

Chemin d'accès au fichier journal

Saisissez le chemin UNC complet ou le chemin du lecteur mappé sur l'ordinateur cible du fichier journal à analyser. Vous pouvez utiliser un astérisque (*) ou un point d'interrogation (?) pour préciser un jeu de fichiers journaux. Si un jeu de fichiers journaux est précisé, l'analyseur commence par le dernier fichier journal. Par exemple : \\morpheus\var\log\messages ou n:\var\log\messages.

Chemin d'accès au fichier journal d'archive

Saisissez le chemin UNC complet ou le chemin du lecteur mappé sur l'ordinateur cible des fichiers d'archive à analyser. Vous pouvez utiliser un astérisque (*) ou un point d'interrogation (?) pour préciser un jeu de fichiers d'archive. Si vous avez précisé un jeu de fichiers d'archives, l'analyseur commence par le dernier fichier journal. Par exemple : \\morpheus\var\log\messages.* ou n:\var\log\messages.*.

Description

Cette option permet de saisir une description pour l'analyseur de fichier journal.

Modèle

Cette option permet de saisir un modèle de texte et des paramètres du fichier journal. Ce modèle permet d'effectuer des recherches depuis le début de chaque ligne dans un fichier journal. Si un modèle identifie une correspondance dans le fichier journal, les paramètres associés reprennent les valeurs extraites du fichier journal.

Vous pouvez utiliser le signe du pourcentage (%) pour spécifier une chaîne alphanumérique de n'importe quelle longueur. Un paramètre du fichier journal est placé entre parenthèses avec le symbole monétaire du dollar ($). Saisissez $$ pour faire correspondre un modèle de texte contenant un symbole $. Saisissez %% pour faire correspondre un modèle de texte contenant un symbole %.

Remarque: les modèles de type textuel sont sensibles à la casse.

Par exemple :

  • Texte du journal : 126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: return error code -1!
  • Modèle : $EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
  • Résultat analysé :
    EventCode=126
    Time= 2007/10/19 12:30:30 Friday
    HostComputer=127.0.0.1
    Dev=Device0
    PID=123
    ErrorCode=-1

Instructions :

  • Pour saisir un caractère de tabulation dans la case d'édition du modèle :
    1. Copiez et collez un caractère de tabulation depuis les données du journal.
    2. Utilisez {tab} en cas de saisie manuelle.
  • Pour créer un modèle, il est plus facile d'y copier le texte original puis de remplacer les caractères que vous pouvez ignorer par %. Remplacez les caractères enregistrés sur un paramètre par un nom.
  • Assurez-vous que tous les paramètres du modèle sont définis dans les paramètres du fichier journal.
  • Un paramètre de date et d'heure doit contenir ces deux informations dans les données source. Dans le cas contraire, utilisez un paramètre de chaîne.

Modèle à plusieurs lignes

Si vous avez coché cette case, plusieurs lignes de texte et plusieurs paramètres de fichier journal servent à analyser le fichier journal.

Modèle de sortie

Saisissez un modèle de texte et des paramètres du fichier journal à stocker dans la surveillance des journaux.

Par exemple :

  • Modèle de sortie :  Received device error from $Dev$ on $HostComputer$. Code = $ErrorCode$.
  • Résultat de sortie : Received device error from Device0 on 127.0.0.1. Code = -1.

Appliquer

Cliquez sur Appliquer pour ajouter ou mettre à jour un paramètre saisi dans le champ Nom.

Effacer tout

Cliquez sur Effacer tout pour supprimer tous les paramètres de la liste.

Paramètres du fichier journal

Nom

Saisissez le nom d'un paramètre utilisé pour stocker une valeur. Ces paramètres sont utilisés dans les zones de texte Modèle et Modèle de sortie.

Remarque: ne mettez pas entre parenthèses le nom du paramètre avec des symboles $ dans le champ Nom. C'est uniquement obligatoire si vous saisissez le paramètre dans les zones de texte Modèle et Modèle de sortie.

Type

Saisissez le type de données qui convient à ce paramètre. Si vous ne pouvez pas stocker les données analysées depuis un fichier journal avec ce type de données, le paramètre reste vide.

Format de date

Si le type sélectionné est Format de date, saisissez un format de date.

  • aa, aaaa, AA, AAAA : année à deux ou quatre chiffres
  • M : mois à un ou deux chiffres
  • MM : mois à deux chiffres
  • MMM : mois abrégé. Exemple : « jan »
  • MMMM : mois écrit en entier. Exemple : « janvier »
  • J, j : jour à un ou deux chiffres
  • JJ, jj : jour à deux chiffres
  • JJJ, jjj : jour de la semaine en abrégé. Exemple : « lun »
  • JJJJ, jjjj : jour de la semaine écrit en entier. Exemple : « lundi »
  • H, h : heure à un ou deux chiffres
  • HH, hh : heure à deux chiffres
  • m : minute à un ou deux chiffres
  • mm  : minute à deux chiffres
  • s : seconde à un ou deux chiffres
  • ss : seconde à deux chiffres
  • f  : fraction de seconde à un ou plusieurs chiffres
  • ff - fffffffff : fraction de seconde entre deux et neuf chiffres
  • t : marque de temps à un caractère. Exemple : « a »
  • tt : marque de temps à deux caractères. Exemple : « am »

    Remarque: si vous insérez un paramètre $Time$ dans le modèle, la surveillance des journaux utilise l'heure stockée dans le paramètre $Time$ comme heure d'entrée du journal. Le filtrage des dates et des heures dépend de l'heure d'entrée du journal. Si un paramètre $Time$ n'est pas compris dans le modèle, l'heure à laquelle l'entrée a été ajoutée à la surveillance des journaux correspond à l'heure d'entrée du journal.

Par exemple :

  • Chaîne de date et d'heure : Oct 19 2007 12:30:30
  • Modèle de date et d'heure : MMM JJ AAAA hh:mm:ss

Date UTC

La surveillance des journaux stocke toutes les valeurs de date et d'heure comme des heures universelles coordonnées (UTC). Ainsi, la date et l'heure UTC sont converties automatiquement en heure locale pour l'administrateur lors de l'affichage des données relatives à la surveillance des journaux ou lors de la génération des rapports.

Si cette case n'est pas cochée, les dates et heures stockées dans le paramètre du fichier journal sont converties de l'heure locale pour l'ID d'ordinateur affecté à l'analyseur du journal en heures UTC. Si vous avez coché cette case, les dates et heures stockées dans le paramètre du fichier journal sont des heures UTC et aucune conversion n'est requise.