更新时间:2023-11-08 16:57:25

1. 进入数据管理>数据存储>解析规则管理页面,点击【+新建】进入新建解析规则设置页面;

► 规则名称:填写解析规则名称,名称需保证全局唯一;
► 过滤条件:添加过滤条件,可选择已存字段值或自定义字段值进行过滤,通过过滤条件可实现解析规则与采集日志关联,并进行解析字段提取:
• 已存字段值过滤:

字段:字段配置项包含:__index_base、__data_type、tags、arPort 四种字段类型,通过设置字段值实现日志匹配过滤,字段值为当前系统所有已采集日志中包含的字段值。配置完成后,点击【添加】即可;

逻辑关系:您可添加多个字段值,并通过逻辑关系(AND/OR)组合多个过滤条件,实现日志过滤,如下所示:

• 自定义过滤:

支持自定义输入字段名及字段值,字段和值之间有“==”和“=~”2种匹配方式,其中:=~ 表示以正则匹配方式定义字段,点击【添加】完成过滤条件添加。

2. 完成过滤条件设置后,点击【搜索日志】即可在最下方的日志列表中查看所有匹配字段值的日志搜索结果,点击时间选择器可切换搜索的时间范围,如下所示:


3. 在日志列表中选择日志样例,鼠标悬浮在日志条目上显示【+选择为日志样例】按钮,点击后该日志将自动添加至日志样例编辑框中,如下所示:

4. 在规则详情栏中,选择解析内容:原始日志,如下所示:

5. 显示原始日志解析方法及前置条件设置参数,原始日志存在7种解析方法:正则解析、JSON 解析、XML 解析、提取关键字、syslog_pri 解析、KeyValue 解析、数据脱敏,如下所示: 

说明:解析方法详细请参见 日志解析方法 章节。
以下示例中选择正则解析方式对 Apache Error 日志进行解析,选择解析方法后点击【验证】,即可在右侧查看日志样例解析后的结果。
6. 在日志列表上方,点击【应用解析规则】按钮,所有日志将应用上述已配置的解析规则并反馈解析状态,如下所示:


7. 点击可筛选解析失败的日志,可将其作为样例,继续优化解析规则,以此提高解析规则的匹配度;


8. 完成解析规则调整后,点击【确定】保存解析规则。