Next Topic

Previous Topic

Book Contents

日志文件分析器定义

“监控”>“日志分析器”>“日志文件分析器定义”

“日志文件分析器定义”页面用于定义用于分析日志文件的模板和参数。定义随后会被分配给使用“日志分析器”页面的计算机 ID。日志分析器最初的访问权限为个人,但可以与其他用户共享。

日志文件分析周期

无论何时更改日志文件,都会触发对日志文件的分析。在大多数情况下,这包括在文件的末尾附加新文本。为避免每次更新文件后从头扫描整个日志文件,代理按如下方式分析日志文件:

  • 每次更新后,代理储存指向日志文件最后 512 字节的“书签”。
  • 再次更新日志文件后,代理会将旧更新中的书签与新更新中的相同字节位置进行比较。
  • 由于日志文件可能在运行日志分析器前已存档,因此分析可能包括存档文件(如果存在)。
  • 您可以通过指定完整参数加上星号 (*) 和问号 (?) 通配符来指定日志文件集合存档文件集。如果指定了的文件集,则分析器从集中的最新文件开始。
  • 如果旧更新与新更新中的书签文本相同,则代理从书签后开始分析文本。
  • 如果书签文本相同且未指定日志存档路径,则代理从头开始分析整个日志文件。如果指定了日志存档路径,则代理会在存档文件中搜索书签。如果找不到书签,代理会在日志文件的末尾加上书签,并在下个周期中从该处开始分析。
  • 完成分析后,将基于新更新日志文件的最后 512 字节定义新书签,并且该过程按此方式重复执行。

注:分析日志文件本身不是程序事件。仅使用“日志分析器”“分配分析器集”“分析器摘要”进行的新配置或重新配置可生成在“计算机摘要”页面的“程序历史”或“等待程序”选项卡中显示的程序。

保存

选择“保存”保存对日志文件分析器定义所做的更矮。

另存为...

选择“另存为...”可以使用其他名称保存日志文件分析器定义。

删除

选择“删除”可删除日志文件分析器定义。

共享...

您可以与其他 VSA 用户用户角色共享您自己的日志文件分析器定义,也可以向所有用户公开该程序。

分析器名称

输入分析器的名称。

日志文件路径

输入要分析的日志文件的目标计算机完整 UNC 路径名或映射的驱动器路径名。您可以使用星号 (*) 或问号 (?) 通配符指定一组日志文件。如果未指定日志文件集,则日志分析器将首先从最新的日志文件开始。例如:\\morpheus\logs\message.logc:\logs\message.log

日志存档路径

输入要分析的存档文件的目标计算机完整 UNC 路径名或映射的驱动器路径名。您可以使用星号 (*) 或问号 (?) 通配符指定一组存档文件。如果未指定存档集,则日志分析器将首先从最新的日志文件开始。例如:如果每日都将 message.logmessageYYYYMMDD.log 格式存档至文件,则可以指定 c:\logs\message*.log

描述

为日志分析器输入描述。

模板

模板用于比较日志文件中的日志条目,以将所需数据提取到参数中。模板中的参数两边以 $ 字符包围起来。

输入文本和日志文件参数的模式。此模式用于从日志文件中每个行的开始进行搜索。如果模式在日志文件中找到匹配项,则模式中的日志文件参数将以从日志文件中提取的值填写。

您可以使用百分比 (%) 通配符指定任意长度的字符数字字符串。日志文件参数用美元 ($) 符号括起来。输入 $$ 可匹配包含 $ 符号的文本模式。输入 %% 可匹配包含 % 符号的文本模式。

注:模板文本模式区分大小写

例如:

  • 日志文本:126 Oct 19 2007 12:30:30 127.0.0.1 Device0[123]: return error code -1!
  • 模板:$EventCode$ $Time$ $HostComputer$ $Dev$[$PID$]:%error code $ErrorCode$!
  • 分析的结果:
    EventCode=126
    Time= 2007/10/19 12:30:30 Friday
    HostComputer=127.0.0.1
    Dev=Device0
    PID=123
    ErrorCode=-1

指导说明:

  • 要在模板编辑框中输入制表符,请执行以下操作:
    1. 从日志数据中复制并粘贴一个制表符。
    2. 采用手动输入方式时,可使用 {tab} 键。
  • 要创建模板,更为简单的方法是将原始文本复制到模板中,再替换可用 % 忽略的字符。然后替换可用参数名称保存到参数的字符。
  • 确保模板中的所有参数均在“日志文件参数”中进行了定义。
  • 日期时间参数必须同时具有源数据中的日期和时间信息,否则请只使用字符串参数。

多层模板

如果选中,则将使用文本和日志文件参数的多个行来分析日志文件。

注:字符串 {tab} 可用作制表符,而 {nl} 可用作换行符。{nl} 不能在单行模板中使用。% 可用作通配符。

输出模板

输入要在日志监控中存储的文本和日志文件参数的模式。

例如:

  • 输出模板: 从 $HostComputer$ 上的 $Dev$ 收到的设备错误。代码 = $ErrorCode$。
  • 输出结果:从 127.0.0.1 上的 Device0 收到的设备错误。代码 = -1。

应用

单击“应用”可添加或更新在“名称”字段中输入的参数。

全部清除

单击“全部清除”可删除参数列表中的所有参数。

日志文件参数

名称

创建模板后,需要定义供模板使用的参数列表。必须定义模板中的所有参数,否则分析器将返回错误。可用参数包括整数、无符号整数、长整数、无符号长整数、浮点数、双精度、日期时间、字符串。参数名的长度限制在 32 个字符以内

输入用于存储值的参数的名称。随后将在“模板”“输出模板”文本框中使用这些参数。

注:“名称”字段中使用 $ 符号将参数的名称包围起来。仅在“模板”“输出模板”文本框中输入参数时才需要进行此操作。

类型

输入适用于参数的数据类型。如果从日志文件分析的数据无法使用该数据类型存储,则参数将保留为空。

日期格式

如果选择的类型日期时间”,请输入日期格式

  • yy, yyyy, YY, YYYY - 两位或四位数表示的年份
  • M - 单位数或两位数表示的月份
  • MM - 两位数表示的月份
  • MMM - 月份名称的缩写,例如“Jan”
  • MMMM - 月份名称的全称,例如“January”
  • D, d - 单位数或两位数表示的日期
  • DD, dd - 两位数表示的日期
  • DDD, ddd - 工作日的缩写,例如“Mon”
  • DDDD, dddd - 工作日的全称,例如“Monday”
  • H, h - 单位数或两位数表示的时数
  • HH, hh - 两位数表示的时数
  • m - 单位数或两位数表示的分数
  • mm  - 两位数表示的分数
  • s - 单位数或两位数表示的秒数
  • ss - 两位数表示的秒数
  • f  - 单位或多位小数表示的分数
  • ff - fffffffff - 两个到九个数位
  • t - 单字符时间标记,例如“a”
  • tt - 双字符时间标记,例如“am”

    注: 在视图和报告中的日期和时间筛选基于日志条目时间。如果在模板中包含使用日期时间数据类型的 $Time$ 参数,则“日志监控”会使用 $Time$ 参数中存储的时间作为日志条目时间。如果您的模板中没有 $Time$ 参数,则系统将使用条目被添加到“日志监控”的时间作为日志条目时间。 每种日期时间参数必须至少包含月、日、时和秒数据。

例如:

  • 日期时间字符串:Oct 19 2007 12:30:30
  • 日期时间模板:MMM DD YYYY hh:mm:ss

UTC 日期

日志监控将所有日期/时间值以世界协调时间 (UTC) 存储。这使得在显示日志监控数据或生成报告时,可以将 UTC 日期和时间自动转换为用户的本地时间。

如果为空,则日志文件参数中存储的日期和时间值将从分配日志分析器的计算机 ID 的本地时间转换为 UTC。如果选中,日志文件参数中存储的日期和时间值为 UTC,因此无需进行转换。

主题 : 发送反馈。 从内容表格的第一个主题下载此联机图书的 PDF 版本。