-- Sumologic的Log Search语法及日志监控事件通知的设置示例
【官网】:https://sumologic.com/
应用场景
sumologic是功能最丰富,以企业为中心的SaaS日志管理工具基础资源
无
使用须知
.Sumologic是功能最丰富的SaaS版日志管理工具之一,它具有减少,搜索和绘制海量数据量的功能。 Sumo Logic的主要吸引力之一是能够建立基准并在事件(例如推出新版本或尝试破坏)后关键指标发生变化时主动通知您。 Sumo Logic使用基于面板的仪表板系统。 它们提供实时数据,但是在仪表板中可以看到的查询类型有一定的限制。 创建面板非常简单明了。 大多数信息以基于图表的方式显示。
配置步骤
A)常规应用示例。
A1)Log Search示例.
示例1)简单查询.
查询语句: *Exception* And *task* AND pod=*appname*
[注]上述代表日志内容包含"Exception", 并且包含"task",并且 节点(pod)名为指定应用名的日志。
示例2)复杂查询1-正则转化。
_source="IIS" and _collector="web-slave-01"
// #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
// Default Log format for IIS V10 and IIS V10.0
| parse regex "(?<server_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) (?<method>\S+?) (?<cs_uri_stem>\S+?) (?<cs_uri_query>\S+?) (?<s_port>\S+?) (?<cs_username>\S+?) (?<c_ip>\S+?) (?<cs_User_Agent>\S+?) (?<cs_referer>\S+?) (?<sc_status>\S+?) (?<sc_substatus>\S+?) (?<sc_win32_status>\S+?) (?<time_taken>\S+?)$"
| where cs_uri_stem matches "*pingtest*"
[注] 上述查询的意思是查询web-slave-01服务器上的iis日志,并对所有请求中为pingtest(性能探针)的请求性能进行统计。
示例3)复杂查询2-正则+聚合函数。
pod=*user-center-service(http://config.net.cn)*
| parse regex "(?<log>.*)$"
| if (log matches "*invalid username*",1,0) as InvalidUserName
| where log matches "*exception*" and InvalidUserName=0
示例4)非的查询.
!_sourceHost=humanresources*
参考:https://help.sumologic.com/Manage/Users-and-Roles/Manage-Roles/07-Construct-a-Search-Filter-for-a-Role
A2)创建/编辑一个指定异常捕获的日志监控的订阅。
常见问题
快速入门
无
