字典管理 -凯发k8国际|首页

j

数据接收

字典管理

原始日志中往往包含了大量具有特殊意义的代码字符,即使是专业人员也无法迅速理解日志内容,造成日志分析工作难以进行,利用字典功能可以对日志内容进行自定义的对应转换,使日志更易读,分析更容易。

例如以下这条日志

   {"category":"","computername":"win-999ogbvahmi","eventcode":7036,"eventidentifier":1073748860,"eventtype":3,"logfile":"system","message":"application experience 服务处于 正在运行 状态。","recordnumber":108343,"sourcename":"service control manager","user":"","timegenerated":"2015-01-04t20:45:09 08:00"}`

在日志易日志展示时,字典功能将原始日志中的某些字段替换成自定义的字段名称及内容。下面我们介绍一下利用字典功能,如何将sourcename字段映射为具体的等级和来源信息。

日志易目前支持string字段映射,int字段暂时无法使用字典功能。

具体操作如下:

首先需要根据日志编写相应的csv文件。针对上面举例的日志,编写csv文件如下:

tag

表头第一列填写需要替换的字段名称sourcename,该列依次填入原始日志中sourcename的字段内容,第二列之后为替换字段。需要注意的是每个字段可对应多个替换字段,替换字段名称由英文字符组成,如上面例子中替换字段名称为第二列的level、第三列的source。映射内容允许出现空缺。 完成csv文件后保存,之后进入设置-字典管理页面:

tag

点击“上传”,选择csv文件上传即完成操作。

字典上传后并没有立刻使用,进入设置-日志格式页面中

tag

填写appname和logtype,添加解析规则选择“自定义字典”,再分别在下拉菜单选择source字段和字典,点击解析,解析成功后即可提交配置。随后正式上传的日志即可出现字典内容置换。日志中出现的字段内容会依据该csv表格进行替换。

在字典列表中点击字典名称会在弹出页面看到该字典中的前10条设定内容。

tag

如果您想补充字典内容,可以在重新编辑或者删除。