|
|
|
|
日志分析器
“日志分析器”页面用于定义日志分析器,并将它们分配给选定的计算机 ID。
注:您可以从在线用户帮助的第一个主题中下载 Configuring Log Parsers Step-by-Step PDF 文件。
注:仅在随后使用分配分析器集为日志分析器分配了日志分析器集后,该日志分析器才有效。
日志监控
VSA 能够监控从许多标准日志文件中收集的数据。日志监控通过从任何文本形式的日志文件的输出中提取数据对该功能进行了扩展。例如,为 Unix、Linux, 和 Macintosh 操作系统,以及诸如 Cisco 路由器等网络设备创建的应用程序日志文件和 syslog 文件。为防止将包含在这些日志中的所有数据上传至 KServer 数据库,日志监控使用分析器定义和分析器集来分析每个日志文件,并仅选择您所需的数据。经过分析的消息显示“日志监控”中,其可使用“实时连接”>“代理数据”或“计算机摘要”页面的“代理日志”选项卡进行访问,也可以通过使用“代理”>“日志 - 日志监控”页面生成报告进行访问。生成日志监控记录时,用户可根据“分配分析集”或“分析器摘要”的定义选择性地触发提示。
日志监控设置
- 日志分析 - 识别要使用日志文件分析器定义分析的日志文件。日志文件分析器定义包含用于储存从日志文件提取的值的日志文件参数。然后,将日志分析器分配给一台或多台计算机。
- 分配分析器集 - 根据储存在参数中的特定值,定义一个分析器集来生成日志监控记录。通过将分析器集分配给之前分配该日志分析器的一个或多个计算机 ID 来激活分析操作。(可选)定义提示。
- 分析器摘要 - 将活动分析器集分配从一个源计算机快速复制到其他计算机 ID。(可选)定义提示。
日志文件分析周期
无论何时更改日志文件,都会触发对日志文件的分析。在大多数情况下,这包括在文件的末尾附加新文本。为避免每次更新文件后从头扫描整个日志文件,代理按如下方式分析日志文件:
- 每次更新后,代理储存指向日志文件最后 512 字节的“书签”。
- 再次更新日志文件后,代理会将旧更新中的书签与新更新中的相同字节位置进行比较。
- 由于日志文件可能在运行日志分析器前已存档,因此分析可能包括存档文件(如果存在)。
- 您可以通过指定完整参数加上星号 (*) 和问号 (?) 通配符来指定日志文件集合存档文件集。如果指定了的文件集,则分析器从集中的最新文件开始。
- 如果旧更新与新更新中的书签文本相同,则代理从书签后开始分析文本。
- 如果书签文本不相同且未指定日志存档路径,则代理从头开始分析整个日志文件。如果指定了日志存档路径,则代理会在存档文件中搜索书签。如果找不到书签,代理会在日志文件的末尾加上书签,并在下个周期中从该处开始分析。
- 完成分析后,将基于新更新日志文件的最后 512 字节定义新书签,并且该过程按此方式重复执行。
注:分析日志文件本身不是程序事件。仅使用“日志分析器”、“分配分析器集”或“分析器摘要”进行的新配置或重新配置可生成在“计算机摘要”页面的“程序历史”或“等待程序”选项卡中显示的程序。
应用
单击“应用”可将选定的日志分析器分配给选定的计算机 ID。
清除
单击“清除”可从选定的计算机 ID 中删除选定的日志分析器。
全部清除
单击“全部清除”可删除选定计算机 ID 中的所有参数设置。
新建...
选择“日志文件分析器”下拉列表中的“<Select Log Parser>”,然后单击“新建...”创建新的日志分析器。
编辑...
在“日志文件分析器”下拉列表中选择现有日志分析器,然后单击“编辑...”编辑该日志分析器。
添加日志分析器/替换日志分析器
选择“添加日志分析器”向现有计算机 ID 添加日志分析器。选择“替换日志分析器”添加日志分析器,并删除选定计算机 ID 中的所有其他日志分析器。