Definición de Analizador de Archivo de Registro

Monitor > Supervisión de registros > Analizador de registros > Definición de analizadores de archivos de registro

La página Definición de analizadores de archivos de registro define plantillas y parámetros utilizandos para analizar archivos de registro. Las definiciones se asignan posteriormente a ID de máquinas utilizando la página Analizador de registro. Inicialmente, los analizadores de registro son privados, pero pueden compartirse con otros usuarios.

El ciclo de análisis de archivos de registro

El análisis de un archivo de registro se activa cada vez que se modifica un archivo de registro. En la mayoría de los casos esto implica agregar texto nuevo al final del archivo. Para evitar escanear todo el archivo de registro desde el principio cada vez que se actualiza el archivo, el agente analiza los archivos de registro de la siguiente manera:

• Después de cada actualización el agente almacena un "favorito" de los últimos 512 bytes de un archivo de registro.
• Cuando se actualiza el archivo de registro nuevamente, el agente compara el favorito de la anterior actualización con la misma posición de bytes en la nueva actualización.
• Debido a que los archivos de registro pueden almacenarse antes de ejecutar el analizador de registro, el análisis puede incluir archivos almacenados, si éstos existen.
• Puede especificar conjuntos de archivos de registro y conjuntos de archivos almacenados, indicando los nombres de ruta completos con comodines con asterisco (*) y signos de interrogación (?). Si se especifica un conjunto de archivos el análisis empieza en el último archivo del conjunto.
• Si el texto de favoritos es el mismo en la actualización anterior y en la nueva actualización, el agente comienza a analizar el texto después del favorito..
• Si el texto del favorito no es el mismo y no se especifica ninguna ruta de archivo de registro, el agente analiza todo el archivo desde el comienzo. Si se especifica una ruta de archivo de registro, el agente busca el favorito en los archivos almacenados. Si no puede encontrarse el favorito, el agente marca como favorito el final del archivo de registro y comienza a analizarlo desde allí en el nuevo ciclo.
• Una vez que se ha completado el análisis se define el nuevo favorito en base a los últimos 512 bytes del archivo de registro recién actualizado y el proceso se repite.

Nota: El análisis de un archivo de registro no es un evento de procedimiento en sí mismo. Únicamente una nueva configuración o una reconfiguración utilizando Analizador de registro, Asignar grupos analizador o Resumen del analizador genera un procedimiento que puede ver en las pestañas de Historial de procedimientos o Procedimientos pendientes de la página Resumen de máquina.

Guardar

Seleccione Guardar para guardar cambios a una definición de analizadores de archivo de registro.

Guardar como...

Seleccione Guardar como... para guardar una definición de analizadores de archivo de registro con un nombre distinto.

Eliminar

Seleccione Eliminar para eliminar una definición de analizador de archivo de registro.

Compartir...

Puede compartir definiciones de analizadores de archivos de registro de su propiedad con otros usuarios del VSA o roles de usuario, o hacer que el procedimiento sea público para todos los usuarios.

Nombre del Analizador

Ingrese el nombre del analizador.

Ruta de Archivo de Registro

Ingrese el nombre de ruta UNC completo o nombre de ruta de la unidad asignada en la máquina de destino del archivo de registro que quiere analizar. Puede usar comodines de asterisco (*) o signo de interrogación (?) para especificar un conjunto de archivos de registro. Si se especifica un grupo de archivo de registro, el analizador de registro comienza por el último archivo de registro. Ejemplo: \\morpheus\logs\message.log o c:\logs\message.log. Al especificar una ruta UNC a un recurso compartido al que accede una máquina con agente (por ejemplo, \\machinename\share), asegúrese de que los permisos del recurso compartido otorguen acceso de lectura y escritura mediante la credencial especificada para esa máquina con agente en la página Configurar credenciales en Agente.

Ruta de Archivo de Registro

Ingrese el nombre de ruta UNC completo o nombre de ruta de la unidad asignada en la máquina de destino de los archivos almacenados que quiere analizar. Puede usar comodines de asterisco (*) o signo de interrogación (?) para especificar un conjunto de archivos almacenados. Si se especifica un grupo de archivo, el analizador de registro comienza por el último archivo de registro. Ejemplo: Si message.log se archiva a diario en un archivo en formato messageYYYYMMDD.log, puede especificar c:\logs\message*.log. Al especificar una ruta UNC a un recurso compartido al que accede una máquina con agente (por ejemplo, \\machinename\share), asegúrese de que los permisos del recurso compartido otorguen acceso de lectura y escritura mediante la credencial especificada para esa máquina con agente en la página Configurar credenciales en Agente.

Descripción

Ingrese una descripción para el analizador de registro.

Plantilla

La plantilla se usa para comparar con la entrada de registro en el archivo de registro para extraer los datos necesarios en los parámetros. Los parámetros están encerrados con el carácter $ en la plantilla.

Ingrse un patrón de texto y los parámetros de archivos de registro. Este patrón se usa para buscar desde el comienzo de cada línea en un archivo de registro. Si un patrón encuentra una coincidencia en el archivo de registro, los parámetros del archivo de registro en el patrón se actualizan con los valores extraídos de un archivo de registro.

Puede usar un comodin de porcentaje (%) para especifiar una cadena alfanumérica de cualquier extensión. Un parámetro de archivo de registro está encerrado entre paréntesis con el símbolo de dólar ($). Ingrese $$ para coincidir con un patrón de texto que contenga el símbolo $. Ingrese %% para coincidir con un patrón de texto que contenga un símbolo %.

Nota: Los patrones de texto de las plantillas distinguen mayúsculas de minúsculas.

Ejemplo

• Texto de registro: 126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: return error code -1!
• Plantilla: $EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
• Resultado analizado:
  EventCode=126
Time= 2007/10/19 12:30:30 Friday
HostComputer=127.0.0.1
Dev=Device0
PID=123
ErrorCode=-1

Lineamientos

• Para ingresar un caracter de tabulación en la casilla de edición de la plantilla:
  1. Copie y pegue un caracter de tabulación de los datos de registro.
  2. Use {tab} si se ingresa manualmente.
• Para crear una plantilla es más fácil copiar el texto original en la plantilla y luego reemplazar los caracteres que pueden ser ignorados con %. Luego reemplace los caracteres que se guardan en un parámetro con un nombre de parámetro.
• Asegúrese de que todos los parámetros en la plantilla estén definidos en Parámetros de archivo de registro.
• El parámetro de fecha y hora debe contener tanto la fecha como la hora de los datos de origen, de lo contrario use un parámetro tipo cadena.

Omisión de caracteres

Para omitir caracteres, use $[n]$, donde n es el número de caracteres que se deben omitir. Use $var[n]$ para recuperar un número fijo de caracteres para que sea un valor de la variable.

Ejemplo

• Texto de registro: 0123456789ABCDEFGHIJ
• Plantilla: $[10]$ABC$str[3]$
• El resultado para el parámetro str es DEF.

Plantilla de múltiples capas

Si está tildada, las líneas múltipes de texto y los parámetros de archivos de registro se usan para analizar el archivo de registro.

Nota: La cadena de caracteres {tab} puede usarse como un carácter de tabulación y {nl} puede usarse como un nuevo salto de línea. {nl} no puede usarse en una plantilla de una sola línea, y % puede usarse como carácter comodín.

Plantilla de salida

Ingrese un patrón de texto y parámetros de archivo de registro a guardar en Monitoreo de registro.

Ejemplo:

• Plantilla de salida:  Received device error from $Dev$ on $HostComputer$. Code = $ErrorCode$.
• Salida de resultado: Received device error from Device0 on 127.0.0.1. Code = -1.

Aplicar

Haga clic en Aplicar para agregar o actualizar un parámetro ingresado en el campo Nombre.

Borrar Todo

Haga clic en Borrar todo para eliminar todos los parámetros de la lista de parámetros.

Parámetros de archivo de registro

Máq.

Una vez que se ha creado la plantilla, es necesario definir la lista de parámetros utilizados por la plantilla. Todos los parámetros en la plantilla tienen que estar definidos, de lo contrario el análisis devuelve un error. Los parámetros disponibles son entero, entero no firmado, largo, largo no firmado, flotante, doble, DateTime, cadena El largo del nombre de parámetro está limitado a 32 caracteres.

Ingrese el nombre de un parámetro utilizado para guardar un valor. Luego se utilizan los parámetros en los cuadros de texto Plantilla y Plantilla de salida.

Nota: No encierre entre paréntesis el nombre del parámetro con símbolos $ en el campo Nombre. Esto sólo es necesario cuando el parámetro se ingresa en los cuadros de texto Plantilla y Plantilla de salida.

Tipo

Ingrese los tipos de datos apropiados para el parámetro. Si los datos analizados desde un archivo de registro no pueden almacenarse utilizando ese tipo e datos, el parámetro queda vacío.

Formato de Fecha

Si el Tipo seleccionado es Date Time, introduzca un Formato de fecha.

• yy, yyyy, YY, YYYY: año de dos o de cuatro dígitos
• M: mes de uno o de dos dígitos
• MM: mes de dos dígitos
• MMM: nombre abreviado del mes, p. ej., "Ene"
• MMMM: nombre completo del mes, p. ej., "Enero"
• D, d: día de uno o de dos dígitos
• DD, dd: día de dos dígitos
• DDD, ddd: nombre abreviado del día de la semana, p. ej., "Lun"
• DDDD, dddd: nombre completo del día de la semana, p. ej., "Lunes"
• H, h: hora de uno o de dos dígitos
• HH, hh: hora de uno o de dos dígitos
• m: minutos de uno o de dos dígitos
• mm: minutos de dos dígitos
• s: segundos de uno o de dos dígitos
• ss: segundos de dos dígitos
• f: fracción de segundos de uno o de más dígitos
• ff-fffffffff: de dos a nueve dígitos
• t: marca de tiempo de un carácter, p. ej., "a"
• tt: marca de tiempo de dos caracteres, p. ej., "am"

Nota: Los filtros de fecha y hora en las vistas y los informes se basan en la hora de la entrada de registros. Si incluye un parámetro $Time$ mediante el tipo de datos Date Time en su plantilla, Supervisión de registros usa la hora almacenada en el parámetro $Time$ como la hora de entrada del registro. Si no se incluye un parámetro $Time$ en su plantilla, la hora en la que se agregó la entrada a Supervisión de registros sirve como la hora de entrada del registro. Cada parámetro de fecha y hora debe contener, como mínimo, los datos de mes, día, hora y segundo.

Ejemplo:

• Cadena de fecha hora: Oct 19 2007 12:30:30
• Plantilla DateTime: MMM DD YYYY hh:mm:ss

Fecha UTC

Monitoreo de registros almacena todos los valores de fecha/hora como tiempo universal, coordinado (UTC). Esto permite que las fechas y horas UTC sean asignadas automáticamente a la hora local del usuario cuando se muestran datos de Monitoreo de registro o cuando se generan informes.

Si está en blanco, los valores de fecha y hora almacenados en el parámetro de archivo de registro se convierten desde la hora local de la ID de máquina asignado al analizador de registro a UTC. Si está tildada la opción, los valores de fecha y hora almacenados en el parámetro del archivo de registro son UTC y no es necesario convertirlos.