Definition des Protokolldatei-Parsers

Monitor > Protokoll-Monitoring > Protokollanalyse > Definition der Protokolldateianalyse

Auf der Seite Definition der Protokolldateianalyse können Sie Vorlagen und Parameter zur Verwendung mit Analyseprotokolldateien definieren. Die Definitionen werden anschließend über die Seite Protokollanalyse den Rechner-IDs zugewiesen. Protokollanalysen sind zunächst zwar privat, können jedoch mit anderen Benutzern gemeinsam verwendet werden.

Der Protokolldateianalysezyklus

Die Analyse einer Protokolldatei wird bei jeder Änderung der Protokolldatei ausgelöst. In den meisten Fällen bedeutet dies das Anhängen von neuem Text an das Ende der Datei. Um zu vermeiden, dass bei jeder Aktualisierung der Datei die gesamte Protokolldatei von Anfang an gescannt wird, parst der Agent Protokolldateien wie folgt:

• Der Agent speichert nach jeder Aktualisierung ein "Lesezeichen" der letzten 512 Byte einer Protokolldatei.
• Wird die Protokolldatei erneut aktualisiert, vergleicht der Agent das Lesezeichen der alten Aktualisierung mit der gleichen Byteposition in der neuen Aktualisierung.
• Da Protokolldateien eventuell vor Ausführen der Protokollanalyse archiviert werden, kann die Analyse auch Archivdateien einschließen, sofern vorhanden.
• Durch Angabe vollständiger Pfadnamen mit Sternchen (*) und Fragezeichen (?) als Stellvertreterzeichen können Sie bestimmte Sätze von Protokoll- und Archivdateien festlegen. Wenn ein Satz von Dateien angegeben wurde, beginnt der Parser mit der letzten Datei in dem Satz.
• Wenn der Lesezeichentext in der alten und neuen Aktualisierung identisch ist, beginnt der Agent mit der Analyse des Texts nach dem Lesezeichen.
• Falls der Lesezeichentext in den beiden Versionen nicht identisch ist und kein Protokollarchivpfad angegeben wurde, analysiert der Agent die gesamte Protokolldatei von Anfang an. Falls ein Protokollarchivpfad angegeben wurde, sucht der Agent in den Archivdateien nach dem Lesezeichen. Wenn das Lesezeichen nicht auffindbar ist, markiert der Agent das Ende der Protokolldatei und beginnt beim nächsten Zyklus an diesem Punkt mit der Analyse.
• Sobald die Analyse abgeschlossen ist, wird ein neues Lesezeichen basierend auf den letzten 512 Byte der neu aktualisierten Protokolldatei definiert und der Prozess wiederholt sich.

Hinweis: Die Analyse einer Protokolldatei selbst gilt nicht als Verfahrensereignis. Nur eine erneute Konfiguration oder Neukonfiguration unter Verwendung von Protokollanalyse, Analysesätze zuweisen oder Analyseübersicht generiert ein Verfahren, das auf den Registerkarten 'Verfahrenshistorie' oder 'Anstehendes Verfahren' der Seite Rechnerübersicht angezeigt wird.

Speichern

Wählen Sie Speichern aus, um Änderungen an einer Definition der Protokolldateianalyse zu speichern.

Speichern unter...

Wählen Sie Speichern unter... aus, um Änderungen an einer Definition der Protokolldateianalyse unter einem anderen Namen zu speichern.

Löschen

Wählen Sie Löschen aus, um eine Definition der Protokolldateianalyse zu löschen.

Freigabe....

Sie können Ihre eigenen Definitionen der Protokolldateianalyse mit anderen VSA-Benutzern oder Benutzerrollen gemeinsam verwenden oder dieses Verfahren allen Benutzern öffentlich zu Verfügung stellen.

Parsername

Geben Sie den Namen der Analyse ein.

Pfad der Protokolldatei

Geben Sie den vollständigen UNC-Pfadnamen oder den Pfadnamen des abgebildeten Laufwerks auf dem Zielrechner der zu analysierenden Protokolldatei ein. Sie können Sternchen (*) oder Fragezeichen (?) als Stellvertreterzeichen verwenden, um einen Satz von Protokolldateien anzugeben. Wenn ein Satz von Protokolldateien angegeben wurde, beginnt die Protokollanalyse mit der letzten Datei in dem Satz. Beispiel: \\morpheus\logs\message.log oder c:\logs\message.log. Stellen Sie beim Angeben eines UNC-Pfads für eine Freigabe, auf die von einem Agent-Rechner zugegriffen wird – zum Beispiel \\machinename\share – sicher, dass die Berechtigung der Freigabe Lese-/Schreibzugriff unter Verwendung der Anmeldedaten für diesen Agent-Rechner in > Anmeldedaten einstellen zulässt.

Pfad des Protokollarchivs

Geben Sie den vollständigen UNC-Pfadnamen oder den Pfadnamen des abgebildeten Laufwerks auf dem Zielrechner der zu analysierenden Archivdateien ein. Sie können Sternchen (*) oder Fragezeichen (?) als Stellvertreterzeichen verwenden, um einen Satz von Archivdateien anzugeben. Wenn ein Satz von Archivdateien angegeben wurde, beginnt die Protokollanalyse mit der letzten Datei in dem Satz. Beispiel: Wenn message.log täglich in einer Datei mit dem Format messageYYYYMMDD.log archiviert wird, können Sie c:\logs\message*.log angeben. Stellen Sie beim Angeben eines UNC-Pfads für eine Freigabe, auf die von einem Agent-Rechner zugegriffen wird – zum Beispiel \\machinename\share – sicher, dass die Berechtigung der Freigabe Lese-/Schreibzugriff unter Verwendung der Anmeldedaten für diesen Agent-Rechner in > Anmeldedaten einstellen zulässt.

Beschreibung

Geben Sie eine Beschreibung für die Protokollanalyse ein.

Vorlage

Anhand dieser Vorlage können Sie die Eingabe mit dem Protokolleintrag in der Protokolldatei vergleichen, um die erforderlichen Daten in Parameter zu extrahieren. Parameter sind in der Vorlage in $-Zeichen eingeschlossen.

Geben Sie ein Muster von Text und Protokolldateiparametern ein. Anhand dieses Muster können Sie vom Beginn jeder Zeile in einer Protokolldatei suchen. Wenn das Muster eine Übereinstimmung in der Protokolldatei findet, werden die Protokolldateiparameter mit den aus der Protokolldatei extrahierten Werten ausgefüllt.

Sie können ein Prozentzeichen (%) als Stellvertreterzeichen verwenden, um eine alphanumerische Zeichenfolge beliebiger Länge anzugeben. Protokolldateiparameter sind in Dollar-Zeichen ($) eingeschlossen. Geben Sie $$ ein, um eine Entsprechung für ein Textmuster zu finden, das ein $-Zeichen enthält. Geben Sie %% ein, um eine Entsprechung für ein Textmuster zu finden, das ein %-Zeichen enthält.

Hinweis: In Vorlagentextmustern muss die Groß-/Kleinschreibung beachtet werden.

Beispiel

• Protokolltext: 126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: return error code -1!
• Vorlage: $EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
• Analysiertes Ergebnis:
  EventCode=126
Time= 2007/10/19 12:30:30 Friday
HostComputer=127.0.0.1
Dev=Device0
PID=123
ErrorCode=-1

Richtlinien

• So geben Sie ein Tabulatorzeichen in das Bearbeitungsfeld der Vorlage ein:
  1. Kopieren Sie das Tabulatorzeichen in den Protokolldaten und fügen Sie es ein.
  2. Verwenden Sie {tab}, um das Zeichen manuell einzugeben.
• Die einfachste Möglichkeit, eine Vorlage zu erstellen, ist, den Originaltext in die Vorlage zu kopieren und dann die Zeichen, die ignoriert werden können, durch % zu ersetzen. Anschließend ersetzen Sie die Zeichen, die in einem Parameter gespeichert werden, durch einen Parameternamen.
• Achten Sie darauf, dass alle Parameter in der Vorlage in Protokolldateiparameter definiert wurden.
• Ein Datum/Uhrzeit-Parameter muss sowohl Datums- als auch Uhrzeitinformationen aus den Quelldaten enthalten, andernfalls verwenden Sie einfach einen Zeichenfolgen-Parameter.

Überspringen von Zeichen

Verwenden Sie zum Überspringen von Zeichen $[n]$, wobei n die Anzahl der zu überspringenden Zeichen ist. Verwenden Sie $var[n]$, um eine feste Anzahl an Zeichen als Variablenwert abzurufen.

Beispiel

• Protokolltext: 0123456789ABCDEFGHIJ
• Vorlage: $[10]$ABC$str[3]$
• Das Ergebnis für den Parameter str ist DEF.

Multilayer-Vorlage

Wenn diese Option aktiviert ist, werden mehrere Zeilen mit Text und Protokolldateiparameter für die Analyse der Protokolldatei verwendet.

Hinweis: Die Zeichenfolge {tab} kann als Tabulatorzeichen und {nl} kann als Zeilenumbruch verwendet werden. {nl} kann nicht in einer einzeiligen Vorlage verwendet werden. % kann als Platzhalterzeichen verwendet werden.

Ausgabevorlage

Geben Sie ein Muster von Text und Protokolldateiparametern ein, die in Protokoll-Monitoring gespeichert werden.

Beispiel:

• Ausgabevorlage:  Received device error from $Dev$ on $HostComputer$. Code = $ErrorCode$.
• Ausgegebenes Ergebnis: Received device error from Device0 on 127.0.0.1. Code = -1.

Anwenden

Klicken Sie auf Anwenden, um einen in das Feld Name eingegebenen Parameter hinzuzufügen oder zu aktualisieren.

Alle löschen

Klicken Sie auf Alle löschen, um alle Parameter von der Parameterliste zu löschen.

Protokolldateiparameter

Name

Nachdem Sie die Vorlage erstellt haben, müssen Sie die Liste der Parameter definieren, die von der Vorlage verwendet werden. Alle Parameter in der Liste müssen definiert werden, andernfalls gibt die Analyse einen Fehler zurück. Verfügbare Parameter sind integer, unsigned integer, long, unsigned long, float, double, datetime, string. Die Länge des Parameternamens ist auf 32 Zeichen beschränkt.

Geben Sie den Namen eines Parameters ein, der zum Speichern eines Werts verwendet wird. Parameter werden anschließend in den Textfeldern Vorlage und Ausgabevorlage verwendet.

Hinweis: Schließen Sie den Namen des Parameters im Feld Name nicht in $-Zeichen ein. Dieses wird nur benötigt, wenn der Parameter in die Textfelder Vorlage und Ausgabevorlage eingegeben wird.

Typ

Geben Sie den korrekten Datentyp für den Parameter ein. Wenn die in einer Protokolldatei analysierten Daten nicht unter diesem Datentyp gespeichert werden können, bleibt der Parameter leer.

Datumsformat

Wenn als Typ die Option Date Time ausgewählt wird, geben Sie ein Datumsformat ein.

• yy, yyyy, YY, YYYY – Zwei- oder vierstelliges Jahr
• M – Ein- oder zweistelliger Monat
• MM – Zweistelliger Monat
• MMM – Abkürzung des Monatsnamens, z. B. "Jan"
• MMMM – Vollständiger Monatsname, z. B. "Januar"
• D, d – Ein- oder zweistelliger Tag
• DD, dd – Zweistelliger Tag
• DDD, ddd – Abkürzung des Wochentagsnamens, z. B. "Mon"
• DDDD, dddd – Vollständiger Wochentagsname, z. B. "Montag"
• H, h – Ein- oder zweistellige Stunde
• HH, hh – Zweistellige Stunde
• m – Ein- oder zweistellige Minute
• mm  – Zweistellige Minute
• s – Ein- oder zweistellige Sekunde
• ss – Zweistellige Sekunde
• f  – Ein- oder zweistelliger Bruchteil einer Sekunde
• ff – fffffffff – zwei bis neun Ziffern
• t – Einstellige Zeitmarkierung, z. B. "a"
• tt – Zweistellige Zeitmarkierung, z. B. "am"

Hinweis: Die Datums- und Uhrzeitfilterung in Ansichten und Berichten basiert auf der Uhrzeit des Protokolleintrags. Bei Einschluss eines Parameters $Time$ mit dem Datentyp Date Time in Ihre Vorlage verwendet das Protokoll-Monitoring die im Parameter $Time$ gespeicherte Zeit als Uhrzeit des Protokolleintrags. Falls kein Parameter $Time$ in Ihre Vorlage eingeschlossen ist, dient die Zeit, zu der der Eintrag in das Protokoll-Monitoring hinzugefügt wurde, als Uhrzeit des Protokolleintrags. Jeder Datum/Zeit-Parameter muss mindestens Daten für Monat, Tag, Stunde und Sekunde enthalten.

Beispiel:

• Datum/Zeit-Zeichenfolge: Oct 19 2007 12:30:30
• DateTime-Vorlage: MMM DD YYYY hh:mm:ss

UTC-Datum

Mit Protokoll-Monitoring werden alle Datum/Zeit-Werte als koordinierte Weltzeit (universal time, coordinated – UTC) gespeichert. Auf diese Weise können UTC-Datums-/Zeitangeben automatisch in die lokale Zeit des Benutzers konvertiert werden, wenn Protokollkontrolldaten angezeigt oder Berichte generiert werden.

Wenn diese Angabe leer gelassen wird, werden die im Protokolldateiparameter gespeicherten Datum/Zeit-Werte von der lokalen Zeit der Rechner-ID, die der Protokollanalyse zugewiesen ist, in UTC konvertiert. Wenn diese Option aktiviert ist, liegen die im Protokolldateiparameter gespeicherten Datum/Zeit-Werte bereits in UTC vor und es ist keine Konvertierung erforderlich.