更新时间:2022-11-15 17:24:10
1. 进入关联分析模块页面,点击【+新建】
2. 进入新建关联搜索页面,参数配置如下:
► 基本配置:
元素名称 元素说明 限制条件
*关联搜索名称 自定义关联搜索名称 名称全局唯一
开启定时任务 开启后,系统将依据执行周期自动执行批量关联搜索 默认为开启状态
*执行周期 配置定时任务执行时间频率 默认为 5 分钟
存量数据同步执行 开启后,在执行定时任务的同时将依据各步骤时间范围执行存量数据搜索,以满足多业务场景需求,提升数据搜索性能 -
说明:
• 关联链路首步:关联搜索由多个关联步骤组成,因此可能存在多个关联链路,每条关联链路的第一步骤,即为关联链路首步。首次开启定时任务及【存量数据同步执行】后,将先对关联链路首步执行存量数据搜索,执行完成后将根据执行周期关联链路首步执行定时增量搜索;
 存量数据:即指每个步骤配置的时间范围内的历史数据。
► 关联搜索配置:

► *步骤名称:自定义关联搜索名称,同一关联搜索中步骤名称不允许重名;
► *日志分组:在下拉列表中选择已存日志分组,确定搜索数据源;
► *时间范围:设置搜索时间范围,默认为最近 15 分钟;
► 搜索条件:设置搜索条件,基于日志分组数据源筛选所需数据;
► 合成新字段:点击【添加合成字段】支持对当前日志分组已有字段,通过截取拼接四则运算的方式合成新字段。
注意:
1. 同一步骤中,合成新字段名称不允许重名;
2. 合成新字段名称不允许以数字、下划线或 @ 开头,长度不允许超过 32 个字符。

• 截取:通过正则表达式提取原始字段值,将其定义为新字段;

注意:被截取字段类型仅支持 string 字符串类型。
• 拼接:可将多字段值或常量值实现拼接,并为拼接后的数值赋予新的字段名称;

• 四则运算:可对字段(number型)以及常量(数值型)值进行四则运算,并为最终的运算结果数值赋予新的字段名称。

► 展示字段:可根据实际需求,选择查看关联搜索结果列表中需展示的字段,可选字段包含数据源已有解析字段及合成字段。
3. 完成第1步搜索配置后,可进入第2步关联配置。在第2步关联配置中,除【关联配置】配置项外,其他参数项可参照上述第1步进行配置。
► 关联配置:可选择第1步中已有字段,并将其关联至第2步的字段。在执行关联搜索时,当第2步中的被关联字段的数值等于第1步中已关联的字段值时,可展示关联搜索结果。
点击【+添加关联配置】可继续添加关联条件,关联配置条件数量无上限限制。

说明:
• 关联字段(如上图第 2 步的关联字段:host)仅允许配置当前步骤对应数据源下已解析的字段,不允许输入合成新字段;
关联字段被关联字段字段类型需保持一致;
• 关联字段及被关联字段类型为数值类型时,其之间可设置的条件关系如下所示:

4. 点击【添加步骤】可继续添加关联步骤,关联步骤中可选择需关联的上级步骤,如下所示:

5. 完成上述配置后点击【保存】。