Přeskočit obsah

Výstup z analýzy

Když používáte LogMan.io Parsec k analýze logů, výsledkem tohoto procesu je to, co označujeme jako „parsovaná událost“. Tento výstup je zásadním aspektem správy logů, protože transformuje surová data z logů do strukturovaného formátu, který je snazší pochopit, analyzovat a jednat na jeho základě.

Parsovaná událost není jen jakákoli sbírka dat; je to pečlivě strukturovaný výstup, který prezentuje informace ve formátu plochého seznamu. To znamená, že každý kus informace z původního logu je extrahován a prezentován jako pár klíč-hodnota. Tyto páry jsou přímočaré, což usnadňuje identifikaci toho, co každá část dat představuje.

Pary klíč-hodnota

  • Klíč: Toto je jedinečný identifikátor, který popisuje typ informace obsažené v hodnotě. Klíče jsou předdefinované štítky, které představují konkrétní aspekty logových dat, jako jsou časová razítka, chybové kódy, uživatelská ID apod. Klíče jsou definovány ve schématu.

  • Hodnota: Toto jsou vlastní data nebo informace spojené s klíčem. Hodnoty se mohou velmi lišit, od číselných kódů a časových značek po textové popisy nebo uživatelské vstupy. Typ hodnoty je definován ve schématu.

Výstupní událost je typicky serializována jako JSON objekt.

Příklad parsované události

{
    "@timestamp": 12345678901,
    "event.created": 12345678902,
    "event.ingested": 12345678903,
    "event.original": "<1> 2023-03-01 myhost myapp: Hello world!",
    "key1": "value1",
    "key2": "value2",
}

Běžná pole parsovaných událostí

Warning

Tato kapitola používá ECS schéma!

Z parsec (implicitní):

  • @timestamp: Pokud není časová značka parsována, toto pole je automaticky vytvořeno s časem parsování.

Od kolektoru:

  • event.original: Původní událost ve svém surovém formátu.
  • event.created: Čas, kdy byla událost zachycena LogMan.io Sběračem.
  • lmio.source: Název zdroje logu (vytvořeno LogMan.io Sběračem).

Od příjemce:

  • event.ingested: Čas, kdy byla událost zpracována LogMan.io Příjemcem.
  • tenant: Název rentiera LogMan.io, ve kterém Parsec zpracoval tuto událost, specifikované v konfiguraci.
  • _id: Jedinečný identifikátor události.

Štítky

Plán

Bude zde možnost přidávat libovolné štítky k události, což umožní vlastní filtrování.

V tuto chvíli je jediný štítek, který je automaticky přidán do pole tags, verze LogMan.io Parsec.

Chybové události

Když parsování selže nebo dojde k neočekávané chybě, událost je odeslána do jiné Event lane (ErrorPipeline), kde je obohacena o informace o tom, kdy a proč se to stalo.

Každá chybová událost obsahuje:

  • @timestamp: Čas, kdy byla událost zpracována s chybou v UNIX časovém razítku (počet sekund od epochy).
  • event.original: Původní událost ve svém surovém formátu.
  • error.message: Chybová zpráva.
  • error.stack_trace: Data o tom, kde v kódu došlo k výjimce.
  • event.dataset: Název datasetu specifikovaného v mapování nebo cesta pro parser v Knihovně.
  • event.created: Čas, kdy byla událost vytvořena LogMan.io Sběračem.
  • event.ingested: Čas, kdy byla událost zpracována LogMan.io Příjemcem.
  • tenant: Název tenanta, kterému byla tato událost určena.