更新时间:2023-11-08 16:27:03

1. 进入数据管理>数据存储>日志分组页面,点击按钮进入新建日志分组页面:
• 创建根分组:选中分组列表中的所有日志选项,点击按钮进入新建日志分组页面,分组等级项默认为根分组,如下所示:


• 创建子分组:选中分组列表中目标父分组,点击按钮进入新建日志分组页面,分组等级默认为子分组,且继承父分组属性(来源索引库/来源主机/数据类型/数据标签),如下所示:

2. 在新建日志分组页面进行配置,包括基本配置分组配置。
● 基本配置参数如下:

元素名称
元素说明 限制条件
*分组名称 设置日志分组的名称,用于日志识别且在概分组层级下具有唯一性 0~40 字符
分组层级 日志分组所属层级:根分组、子分组 -
所属父分组 显示子分组所属的父分组名称 仅子分组支持此配置项

● 分组配置类型分为常规高级两种,各分组配置参数如下:

元素名称
元素说明 限制条件
继承定义类型 查看从父分组继承的分组定义,包含:定义类型、来源索引库、来源主机、数据类型、数据标签 仅子分组支持显示此配置项
配置类型 分组配置类型包含:常规、高级 2 种 -
来源索引库 选择单个或多个索引库,实现日志分组数据过滤 常规、高级下的手动选择配置支持此方式
输入正则匹配表达式,实现自动匹配来源索引库 仅高级下的正则匹配配置支持此方式
来源主机 设置数据来源主机,实现日志分组数据过滤,支持正选及反选过滤 -
数据类型 设置数据类型,实现日志分组数据过滤,支持正选及反选过滤 常规配置支持此配置项
数据标签 设置数据标签,实现日志分组数据过滤,支持正选及反选过滤
分组条件 输入搜索语句,实现日志分组数据过滤 高级配置支持此配置项

    ■【常规】和【高级】两种配置操作步骤如下:
          • 点击【常规】,进行相应来源索引库、来源主机、数据类型、数据标签的选择,如下所示:


          • 点击【高级】,进行来源索引库分组条件的设置,步骤如下:
               ▪ 选择来源索引库,来源索引库分为【正则匹配】和【手动选择】两种选择方式,如下:
                   • 选择【正则匹配】,在输入框中输入正则表达式并按回车键,以自动匹配合适的索引库进行导入,如下所示:


说明:正则匹配表达式建议使用“xxx.*”的格式,但不支持只有“.*”。
                   • 或者选择【手动选择】,点击【来源索引库】在右侧抽屉中进行配置,如下所示:


               ▪ 在分组条件输入框中输入搜索语句,实现日志分组数据过滤。
说明:分组条件的搜索语句格式可参考数据搜索功能模块中的搜索帮助,如下所示:
 

2. 点击【预览】可在右侧抽屉页面,查看事件预览以及可选字段预览列表信息,如下所示:
• 事件列表:用于预览该分组下的日志事件,可通过时间选择器搜索框进行过滤显示,如下所示:


• 可选字段预览:用于预览该分组下日志文件所包含的已解析字段列表,如下所示:

3. 点击【保存】完成日志分组创建。