更新时间:2022-11-01 09:02:56
1. 进入数据管理>日志分组页面,点击按钮进入新建日志分组页面:
• 创建根分组:选中分组列表中的所有日志选项,点击按钮进入新建日志分组页面,分组等级项默认为根分组,如下所示:

 
• 创建子分组:选中分组列表中目标父分组,点击按钮进入新建日志分组页面,分组等级默认为子分组,且继承父分组属性(日志库/来源主机/日志类型/日志标签),如下所示:

2. 在新建日志分组页面进行配置,包括基本配置分组配置。
● 基本配置参数如下:
元素名称
元素说明 限制条件
*分组名称 设置日志分组的名称,用于日志识别且具有唯一性 0~40 字符
分组层级 设置日志分组所属层级:根分组、子分组 -
所属父分组 显示子分组所属的父分组名称 仅子分组支持此配置项
● 分组配置类型分为常规高级两种,各分组配置参数如下:
元素名称
元素说明 限制条件
继承定义类型 查看从父分组继承的分组定义,包含:定义类型、来源日志库、来源主机、日志类型、日志标签 仅子分组支持显示此配置项
配置类型 分组配置类型包含:常规、高级 2 种 -
来源日志库 选择单个或多个日志库,实现日志分组数据过滤 常规、高级下的手动选择配置支持此方式
输入正则匹配表达式,实现自动匹配来源日志库 仅高级下的正则匹配配置支持此方式
来源主机 设置日志数据来源主机,实现日志分组数据过滤,支持正选及反选过滤 -
日志类型 设置日志类型,实现日志分组数据过滤,支持正选及反选过滤 常规配置支持此配置项
日志标签 设置日志标签,实现日志分组数据过滤,支持正选及反选过滤
分组条件 输入搜索语句,实现日志分组数据过滤 高级配置支持此配置项
    ■【常规】和【高级】两种配置操作步骤如下:
          • 点击【常规】,进行相应来源日志库、来源主机、日志类型、日志标签的选择,如下所示:

          • 点击【高级】,进行来源日志库分组条件的设置,步骤如下:
               ▪ 选择来源日志库,来源日志库分为【正则匹配】和【手动选择】两种选择方式,如下:
                   • 选择【正则匹配】,在输入框中输入正则表达式并按回车键,以自动匹配合适的日志库进行导入,如下所示:


说明:正则匹配表达式建议使用“xxx.*”的格式,但不支持只有“.*”。
                   • 或者选择【手动选择】,在下拉菜单中选择相应的来源日志库,如下所示:


               ▪ 在分组条件输入框中输入搜索语句,实现日志分组数据过滤。
说明:分组条件的搜索语句格式可参考数据搜索功能模块中的搜索帮助,如下所示:
 

2. 点击【预览】可在右侧抽屉页面,查看事件预览以及可选字段预览列表信息,如下所示:
• 事件列表:用于预览该分组下的日志事件,可通过时间选择器搜索框进行过滤显示,如下所示:

• 可选字段预览:用于预览该分组下日志文件所包含的已解析字段列表,如下所示:

3. 点击【保存】完成日志分组创建。