Definição do Analisador de Arquivo de Log

A página Definição do Analisador de Arquivo de registro define os modelos e parâmetros usados para analisar arquivos de registro. As definições são posteriormente atribuídas às IDs de máquina usando a página Analisador de Registros. Os analisadores de registros são inicialmente privados, mas podem ser compartilhados com outros usuários.

Ciclo de análise dos arquivos de registro

A análise de um arquivo de registro será acionada quando o arquivo for alterado. Na maioria dos casos, isso envolve anexar novo texto ao fim do arquivo. Para evitar a verificação de todo o arquivo de registro desde o começo cada vez que o arquivo for alterado, o agente analisa os arquivos desta forma:

Após cada atualização, o agente armazena um "indicador" dos últimos 512 bytes de um arquivo de registro.
Quando o arquivo de registro for atualizado novamente, o agente comparará o indicador da atualização anterior pela mesma posição de byte na nova atualização.
Como os arquivos de registro podem ser arquivados antes que o analisador seja executado, a análise pode incluir arquivos mortos se existirem.
É possível especificar conjuntos de arquivos de registro e de arquivos mortos por seus nomes de caminho com curingas asterisco (*) e ponto de interrogação (?). Se um conjunto de arquivos for especificado, o analisador iniciará pelo arquivo mais recente do conjunto.
Se o texto do indicador for o mesmo na atualização velha e nova, o agente começará a analisar o texto após o indicador.
Se o texto do indicador não for o mesmo e nenhum Caminho de Arquivo de Registro for especificado, o agente analisará todo o arquivo de registro desde o começo. Se um Caminho de arquivos de registro for especificado, o agente procurará o indicador nos arquivos. Se o indicador não puder ser encontrado, o agente indicará o fim do arquivo de registro e iniciará a análise desse ponto no próximo ciclo.
Quando a análise estiver concluída, um novo indicador será definido baseado nos últimos 512 bytes do arquivo de registro recém-atualizado e o processo se repetirá.

Nota: A análise de um arquivo de log não é um evento de procedimento por si só. Somente uma nova configuração ou reconfiguração usando Analisador de registros, Atribuir conjuntos de analisadores ou Resumo do Analisador gera um procedimento que pode ser visto nas guias Histórico de Procedimentos ou Procedimentos Pendentes da página Resumo da Máquina.

Salvar

Selecione Salvar para salvar as alterações à definição do analisador de arquivos de registro.

Salvar Como...

Selecione Salvar Como... para salvar a definição do analisador de arquivos de registro com outro nome.

Excluir

Selecione Excluir para excluir uma definição do analisador do arquivo de registros.

Compartilhar…

Você pode compartilhar suas definições do analisador de arquivos de logs com outros usuários do VSA, funções de usuários ou tornar o procedimento público a todos os usuários.

Nome do Analisador

Insira o nome do analisador.

Caminho do Arquivo de Log

Insira o nome do caminho UNC completo ou da unidade mapeada na máquina de destino do arquivo de registro que você quer analisar. É possível usar curingas de asterisco (*) ou ponto de interrogação (?) para especificar um conjunto de arquivos de registro. Se um conjunto de arquivos de registro for especificado, o analisador iniciará pelo arquivo mais recente. Exemplo: \\morpheus\logs\message.log ou c:\logs\message.log. Ao especificar um caminho UNC para um compartilhamento acessado por uma máquina do agente, por exemplo \\machinename\share, verifique se as permissões de compartilhamento concedem acesso de leitura/gravação usando a credencial especificada para aquela máquina de agente em Agente > Definir credencial.

Caminho do Arquivo de Log

Insira o nome do caminho UNC completo ou da unidade mapeada na máquina de destino dos arquivos mortos que você quer analisar. É possível usar curingas de asterisco (*) ou ponto de interrogação (?) para especificar um conjunto de arquivos mortos. Se um conjunto de arquivos mortos for especificado, o analisador de registros iniciará pelo arquivo mais recente. Exemplo: Se message.log for arquivado diariamente em um arquivo no formato messageYYYYMMDD.log, então, será possível especificar c:\logs\message*.log. Ao especificar um caminho UNC para um compartilhamento acessado por uma máquina do agente, por exemplo \\machinename\share, verifique se as permissões de compartilhamento concedem acesso de leitura/gravação usando a credencial especificada para aquela máquina de agente em Agente > Definir credencial.

Descrição

Insira uma descrição para o analisador de registros.

Template

O modelo é usado para comparação com a entrada no arquivo de registro para extrair os dados requeridos aos parâmetros. Os parâmetros são incluídos com o caractere $ no modelo.

Insira um padrão de texto e os parâmetros do arquivo de registro. Esse padrão é usado para pesquisar desde o começo de cada linha em um arquivo de registro. Se um padrão encontrar uma correspondência no arquivo de registro, os parâmetros no padrão serão preenchidos com os valores extraídos do arquivo de registro.

É possível usar um curinga de percentagem (%) para especificar uma sequência alfanumérica de qualquer tamanho. Um parâmetro do arquivo de registro é colocado entre parênteses com o símbolo de dólar ($). Insira $$ para corresponder a um padrão de texto que contenha o símbolo $. Insira %% para corresponder a um padrão de texto que contenha o símbolo %.

Nota: Os padrões de texto dos modelos diferenciam maiúsculas de minúsculas.

Exemplo

Texto do registro: 126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: return error code -1!
Modelo: $EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
Resultado analisado:
EventCode=126
Time= 2007/10/19 12:30:30 Friday
HostComputer=127.0.0.1
Dev=Device0
PID=123
ErrorCode=-1

Diretrizes

Para inserir um caractere de tabulação na caixa de edição do modelo:
1. Copie e cole o caractere de tabulação dos dados do registro.
2. Use {tab} se ele for inserido manualmente.
Para criar um modelo, é mais fácil copiar o texto original do modelo e substituir por % os caracteres que podem ser ignorados. Depois, substitua os caracteres que foram salvos em um parâmetro com nome.
Certifique-se de que todos os parâmetros do modelo estejam definidos em Parâmetros do Arquivo de Registros.
Um parâmetro de data/hora deve ter ambas as informações de data e hora dos dados de origem, caso contrário use apenas um parâmetro sequencial.

Como ignorar caracteres

Para ignorar caracteres, utilize $[n]$ , onde n é o número de caracteres a ignorar. Utilize $var[n]$ para recuperar um número fixo de caracteres para ser um valor variável.

Exemplo

Texto do registro: 0123456789ABCDEFGHIJ
Modelo: $[10]$ABC$str[3]$
O resultado para o parâmetro str é DEF.

Modelo Multicamadas

Se a opção estiver selecionada, várias linhas de texto e parâmetros do arquivo de registro serão usados para analisar o arquivo de registro.

Nota: A sequência de caracteres {tab} pode ser usada como um caractere de tabulação e {nl} pode ser usado como uma nova quebra de linha. {nl} não pode ser usado em um modelo de linha única. % pode ser usada como caractere coringa.

Template de Saída

Insira um padrão de texto e os parâmetros do arquivo de registro a serem armazenados no Monitoramento de Registros.

Exemplo:

Modelo de saída: Received device error from $Dev$ on $HostComputer$. Code = $ErrorCode$.
Saída do resultado: Received device error from Device0 on 127.0.0.1. Code = -1.

Aplicar

Clique em Aplicar para adicionar ou atualizar um parâmetro inserido no campo Nome.

Limpar tudo

Clique em Limpar Tudo para remover todos os parâmetros da lista de parâmetros.

Parâmetros do Arquivo de Log

Nome

Quando o modelo estiver criado, será necessário definir a lista de parâmetros usados. Todos os parâmetros no modelo têm de ser definidos, caso contrário o analisador retornará um erro. Os parâmetros disponíveis são integer, unsigned integer, long, unsigned long, float, double, datetime, string. O nome do parâmetro é limitado a 32 caracteres.

Insira o nome de um parâmetro usado para armazenar um valor. Os parâmetros serão posteriormente usados nas caixas de texto Modelo e Modelo de Saída.

Nota: Não coloque entre parênteses o nome do parâmetro com símbolos $ no campo Nome. Isso só é exigido quando o parâmetro é inserido nas caixas de texto Modelo e Modelo de Saída.

Tipo

Insira o tipo dos dados apropriados para o parâmetro. Se os dados analisados de um arquivo de registro não puderem ser armazenados usando esse tipo de dado, o parâmetro permanecerá vazio.

Formato da Data

Se o Tipo selecionado for Date Time, insira um Formato de data.

yy, yyyy, YY, YYYY : ano de dois ou quatro dígitos
M : mês de um ou dois dígitos
MM : mês de dois dígitos
MMM : abreviação do nome do mês, por exemplo "Jan"
MMMM : nome completo do mês, por exemplo "Janeiro"
D, d : dia de dois dígitos ou dígito único
DD, dd : dia de dois dígitos
DDD, ddd : nome abreviado do dia da semana, por exemplo "Seg"
DDDD, dddd : nome completo do dia da semana, por exemplo "Segunda-feira"
H, h : hora de dois dígitos ou dígito único
HH, hh : hora de dois dígitos
m : minuto de dois dígitos ou dígito único
mm : minuto de dois dígitos
s : segundo de dois dígitos ou dígito único
ss : segundo de dois dígitos
f : fração de segundo de um ou mais dígitos
ff : fffffffff: dois a nove dígitos
t : marca de hora de um caractere, por exemplo "a"
tt : marca de hora de dois caracteres, por exemplo "am"

Nota: Data e hora de filtragem em exibições e relatórios são baseadas na hora da entrada no registro. Se você incluir um parâmetro de $Time$ utilizando o tipo de dados de Date Time em seu modelo, o Monitoramento de logs utilizará o tempo armazenado no parâmetro de $Time$ conforme o tempo de entrada do log. Se um parâmetro de $Time$ não estiver incluído no seu modelo, o tempo que foi adicionado na entrada para Monitoramento de logs servirá como o tempo de entrada do log. Cada parâmetro de data e hora deve conter pelo menos os dados de mês, dia, hora e segundo.

Exemplo:

Sequência de Data/Hora: Oct 19 2007 12:30:30
Modelo de Data/Hora: MMM DD YYYY hh:mm:ss

Data UTC

O Monitoramento de Registros armazena todos os valores de data/hora como Hora Universal Coordenada (UTC). Isso permite que as datas e horas UTC sejam automaticamente convertidas para a hora local do usuário quando os dados do Monitoramento de Registros for exibido ou quando os relatórios forem gerados.

Se deixados em branco, os valores de data e hora armazenados no parâmetro do arquivo de registro serão convertidos da hora local da ID de máquina que atribuiu o analisador do registro para UTC (Universal Time Coordinated, Hora Universal Coordenada). Se a opção estiver selecionada, os valores de data e hora armazenados no parâmetro do arquivo de registro serão UTC e a conversão não será necessária.