概述
本文主要在原文档基础上,进行了字段抽取规则、图表的优化。
-
字段抽取:原文档使用正则的方式,创建了多个视图,本文将改为正则+键值的抽取方式,并介绍键值抽取的适用场景
-
图表的优化:原文使用多为简单的sql语句,本文将增加一下略复杂的语句,并采用更多的图表展现方式
前提条件
参考本文有一定的前置条件,包括如下:
鸿鹄已经完成安装,并可以正常工作
vector已经安装并完成配置,并可以正常工作
本文的数据源类型为sangfor_syslog,数据集为sangfor_syslog,可以按照自己的环境去匹配。但数据源类型建议在syslog导入前完成创建,因为后续字段加工时,会对数据源类型进行更改,并绑定
操作步骤
本文假定sangfor的日志按照数据源类型为sangfor_syslog,数据集为sangfor_syslog,正常导入到鸿鹄平台。
字段抽取
原始日志分析
在字段抽取前,我们需要先查看下原始日志,对其进行分析
通过查询可以看到原始日志格式如下,对其进行分析发现后半部分为标准的键值格式,即K/V格式,那么我们可以确定我们的字段抽取方式为正则抽取+键值抽取
将日志分为两个部分,第一部分采用正则抽取
第二部分先采用正则将整个内容抽取,随后通过parse_autokv进行键值抽取(由于键值抽取默认通过=进行抽取的,所以这里:无法直接利用键值抽取,需要后面使用parse_autokv抽取)
抽取新字段
1、正则抽取
抽取新字段
选择目标数据类型,选择样例事件,下一步
在抽取流程中,新建抽取规则>正则抽取
按照上文日志分析,第一步,我们通过正则将日志进行正则抽取。
TIPs:这里我们可以先采用划词抽取,随后编辑正则表达式,可以稍微简化我们写正则表达式。此外,划词抽取需要chrome支持,我们推荐使用chrome,并且版本要满足要求(如果提示版本过低就是未满足),否则会无法划词抽取
最低0.47元/天 解锁文章
398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
