Výstup z analýzy
Když používáte LogMan.io Parsec k analýze logů, výsledkem tohoto procesu je to, co označujeme jako „parsovaná událost“. Tento výstup je zásadním aspektem správy logů, protože transformuje surová data z logů do strukturovaného formátu, který je snazší pochopit, analyzovat a jednat na jeho základě.
Parsovaná událost není jen jakákoli sbírka dat; je to pečlivě strukturovaný výstup, který prezentuje informace ve formátu plochého seznamu. To znamená, že každý kus informace z původního logu je extrahován a prezentován jako pár klíč-hodnota. Tyto páry jsou přímočaré, což usnadňuje identifikaci toho, co každá část dat představuje.
Pary klíč-hodnota
-
Klíč: Toto je jedinečný identifikátor, který popisuje typ informace obsažené v hodnotě. Klíče jsou předdefinované štítky, které představují konkrétní aspekty logových dat, jako jsou časová razítka, chybové kódy, uživatelská ID apod. Klíče jsou definovány ve schématu.
-
Hodnota: Toto jsou vlastní data nebo informace spojené s klíčem. Hodnoty se mohou velmi lišit, od číselných kódů a časových značek po textové popisy nebo uživatelské vstupy. Typ hodnoty je definován ve schématu.
Výstupní událost je typicky serializována jako JSON objekt.
Příklad parsované události
{
"@timestamp": 12345678901,
"event.created": 12345678902,
"event.ingested": 12345678903,
"event.original": "<1> 2023-03-01 myhost myapp: Hello world!",
"key1": "value1",
"key2": "value2",
}
Běžná pole parsovaných událostí
Warning
Tato kapitola používá ECS schéma!
Z parsec (implicitní):
@timestamp
: Pokud není časová značka parsována, toto pole je automaticky vytvořeno s časem parsování.
Od kolektoru:
event.original
: Původní událost ve svém surovém formátu.event.created
: Čas, kdy byla událost zachycena LogMan.io Sběračem.lmio.source
: Název zdroje logu (vytvořeno LogMan.io Sběračem).
Od příjemce:
event.ingested
: Čas, kdy byla událost zpracována LogMan.io Příjemcem.tenant
: Název rentiera LogMan.io, ve kterém Parsec zpracoval tuto událost, specifikované v konfiguraci._id
: Jedinečný identifikátor události.
Štítky
Plán
Bude zde možnost přidávat libovolné štítky k události, což umožní vlastní filtrování.
V tuto chvíli je jediný štítek, který je automaticky přidán do pole tags
, verze LogMan.io Parsec.
Chybové události
Když parsování selže nebo dojde k neočekávané chybě, událost je odeslána do jiné Event lane (ErrorPipeline
),
kde je obohacena o informace o tom, kdy a proč se to stalo.
Každá chybová událost obsahuje:
@timestamp
: Čas, kdy byla událost zpracována s chybou v UNIX časovém razítku (počet sekund od epochy).event.original
: Původní událost ve svém surovém formátu.error.message
: Chybová zpráva.error.stack_trace
: Data o tom, kde v kódu došlo k výjimce.event.dataset
: Název datasetu specifikovaného v mapování nebo cesta pro parser v Knihovně.event.created
: Čas, kdy byla událost vytvořena LogMan.io Sběračem.event.ingested
: Čas, kdy byla událost zpracována LogMan.io Příjemcem.tenant
: Název tenanta, kterému byla tato událost určena.