更新时间:2023-05-30 09:54:51

第1步: 进入关联搜索模块页面,点击【+新建】,如下所示:

第2步: 进入新建关联搜索页面,参数配置如下:

♦ 基本配置:

元素名称 元素说明 限制条件
* 关联搜索名称 自定义关联搜索名称 名称全局唯一
开启定时任务 开启后,系统将依据执行周期自动执行批量关联搜索 默认为开启状态
* 执行周期 配置定时任务执行时间频率 默认为5分钟
存量数据同步执行 开启后,在执行定时任务的同时,将依据各步骤时间范围执行存量数据搜索,以满足多业务场景需求,提升数据搜索性能 -

说明:

• 关联链路首步:关联搜索由多个关联步骤组成,因此可能存在多个关联链路,每条关联链路的第一个步骤,即为关联链路首步。

  首次开启定时任务及【存量数据同步执行】后,将先对关联链路首步执行存量数据搜索,执行完成后将根据执行周期关联链路首步执行定时增量搜索;

• 存量数据:即指每个步骤配置的时间范围内的历史数据。

♦ 关联搜所配置:

  • * 步骤名称:自定义关联搜索名称,同一关联搜索中步骤名称不允许重名;
  • * 日志分组:在下拉列表中选择已存日志分组,确定搜索数据源;
  • * 时间范围:设置搜索时间范围,默认为最近15分钟;
  • 搜索条件:设置搜索条件,基于日志分组数据源筛选所需数据;
  • 合成新字段:点击【添加合成字段】支持对当前日志分组已有字段,通过截取拼接四则运算的方式合成新字段;

注意:

1. 同一步骤中,合成新字段名称不允许重名;

2. 合成新字段名称不允许以数字、下划线或@开头,长度不允许超过32个字符。

a. 截取:通过正则表达式提取原字段值,将其定义为新字段;

注意:被截取字段类型仅支持string字符串类型。

b. 拼接:可将多字段值或常量值实现拼接,并为拼接后的数值赋予新的字段名称;

c. 四则运算:可对字段(number型)以及常量(数值型)值进行四则运算,并为最终的运算结果数值赋予新的字段名称;

  • 展示字段:可根据实际需求,选择查看关联搜索结果列表中需展示的字段,可选字段包含数据源已有解析字段及合成新字段。

第3步: 完成1步搜索配置后,可进入2步关联配置。在2步关联配置中,除【关联配置】配置项外,其他参数项可参照上述1步进行配置。

♦ 关联配置:可选择2中已解析字段,并将其关联至1中的字段。在执行关联搜索时,当2中的关联字段值满足与1中被关联字段值的条件关系时,可展示关联搜索结果。

点击【+添加关联配置】可继续添加关联条件,关联配置条件数量无上限限制。

说明:

1. 关联字段(如上图第2步的关联字段:host)仅允许配置当前步骤对应数据源下已解析的字段,不允许输入合成新字段;

2. 关联字段及被关联字段字段类型需保持一致;

3. 关联字段及被关联字段类型为数值类型时,其之间可设置的条件关系如下所示:

第4步:点击【添加步骤】可继续添加关联步骤,关联步骤中可选择需关联的上级步骤,如下所示:

第5步:完成上述配置后点击【保存】。