多行全文模式
更新時間 2024-09-02 09:40:04
最近更新時間: 2024-09-02 09:40:04
分享文章
本文主要結構化解析-多行全文模式。
概述
多行全文日志是指一條完整的日志數據可能跨占多行,您需要指定首行正則表達式以進行匹配,當某行日志匹配上預先設置的正則表達式,則認為是一條日志的開頭,而下一個行首出現作為該條日志的結束標識符。提取的日志內容同樣也會存放在 __message__字段中。
示例
在多行全文模式下,日志數據本身不再進行日志結構化處理,采集器會將日志內容存放在 __message__字段中。如您需要采集的原始數據為:
- 原始日志:
“2019-12-15 17:13:06,043 [main] ERROR com.test.logging.FooFactory: java.lang.NullPointerException at com.test.logging.FooFactory.createFoo(FooFactory.java:15) at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)” - 行首正則表達式:
\d+-\d+-\d+\s\d+:\d+:\d+,\d+\s.* - 采集到云日志服務后的日志:
__message__:“2019-12-15 17:13:06,043 [main] ERROR com.test.logging.FooFactory: java.lang.NullPointerException at com.test.logging.FooFactory.createFoo(FooFactory.java:15) at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)”
配置方式
在日志接入流程中-創建采集配置步驟中,按如下參數說明配置切割模式:
| 參數 | 描述 |
|---|---|
| 切割模式 | 針對原始日志執行分詞的模式,選擇“多行全文”。 |
| 日志樣例 | 輸入您需要采集的日志樣例。 |
| 首行正則表達式 | 首行正則表達式用于匹配每一條日志的行首,以確認每條日志的開頭位置。 輸入完成后,點擊【驗證】,系統將根據您輸入的日志樣例判斷表達式是否通過,以及成功解析的日志條數。 |
