操作步骤 云日志服务接入方式为负载均衡 ELB时，按照如下操作完成接入配置。 选择日志流 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：ELB配置。 ELB配置 单击“前往ELB配置”。 在云服务器控制台，选择弹性负载均衡下的“负载均衡器”。 在弹性负载均衡页面中，单击待操作的负载均衡器“名称/ID” ，进入详情页面。 选择“访问日志”，单击“配置访问日志”。 在弹出的配置访问日志页面中，选择对应的日志组和日志流。 具体的操作步骤，请见弹性负载均衡《用户指南》。 日志流配置 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，自动对日志流进行结构化配置和索引配置。日志流结构化配置为ELB系统模板；索引配置为所有ELB解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对ELB日志进行SQL分析，并提供可视化图表。 自动为日志流添加标签：log_type=elb_7layer_access 开启该按钮，自动为日志流添加标签（log_type=elb_7layer_access）后，ELB仪表盘模板才能匹配该日志流。 自动为日志流创建仪表盘 开启该按钮，自动为日志流创建ELB仪表盘。 完成

操作步骤 云日志服务接入方式为虚拟私有云 VPC时，按照如下操作完成接入配置。 选择日志流 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：VPC配置。 VPC配置 单击“前往VPC配置”。 在虚拟私有云控制台，选择“VPC流日志”。 在VPC流日志页面中，单击“创建VPC流日志” ，配置各参数信息。 具体的操作步骤及参数配置，请见虚拟私有云《用户指南》。 完成后，单击“确定”。 日志流配置 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，自动对日志流进行结构化配置和索引配置。日志流结构化配置为VPC系统模板；索引配置为所有VPC解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对VPC日志进行SQL分析，并提供可视化图表。 完成

操作步骤 云日志服务接入方式为云审计 CTS时，按照如下操作完成接入配置。 选择日志流 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：CTS配置。 CTS配置 单击“前往CTS配置”。 在云审计服务控制台，选择左侧导航树的“追踪器”，进入追踪器信息页面。 单击“创建追踪器”，配置各参数信息。 完成后，单击“确定”。 具体的操作步骤及参数配置，请见云审计服务《用户指南》。 日志流配置 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，自动对日志流进行结构化配置和索引配置。日志流结构化配置为CTS系统模板；索引配置为所有CTS解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对CTS日志进行SQL分析，并提供可视化图表。 完成

操作步骤 在WAF添加防护网站。 登录管理控制台。 在控制台左上角单击，选择区域和项目。 在系统首页左上角单击，选择“安全与合规 > Web应用防火墙 WAF”，进入Web应用防火墙管理控制台。 根据添加防护域名添加需要防护的网站，使网站流量切入WAF。 开启全量日志功能，将WAF日志记录到LTS，详细操作请参见开启全量日志。 在Web应用防火墙管理控制台，单击“防护事件”，选择“全量日志”页签。开启全量日志，选择已创建的日志组与日志流。如未创建日志组与日志流，请先创建日志组和创建日志流。 单击“确定”，全量日志配置成功。 图1 配置全量日志 在日志流详情页面，单击左侧导航栏“配置中心”，选择“结构化配置”，进入日志结构化配置页面，选择“JSON”提取方式，根据业务需求选择日志，配置相关参数，具体操作请参见日志结构化。 图2 配置JSON格式日志 在日志流详情页面，单击“可视化”页签，进行SQL查询与分析，如需要多样化呈现查询结果，请参考日志结构化进行配置。 统计1周内攻击次数，具体SQL查询分析语句如下所示： select count(*) as attack_times 图3 攻击次数查询结果 统计1天不同攻击类型的分布，具体SQL查询分析语句如下所示： select attack,count(*) as times group by attack 查询结构有五种呈现形式依上而下分别为表格、柱状图、折线图、饼图、数字，如下图为饼图结果。 图4 不同攻击类型的分布查询结果

操作步骤 云日志服务接入方式为API网关 APIG时，按照如下操作完成接入配置。 选择日志流 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：APIG配置。 APIG配置 单击“前往APIG配置”。 在APIG控制台，选择API分析下的“日志分析”。 单击“配置访问日志”链接。 在弹出的配置访问日志页面中，选择对应的日志组和日志流。 APIG里具体的操作请参见日志分析。 日志流配置 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，自动对日志流进行结构化配置和索引配置。日志流结构化配置为APIG系统模板；索引配置为所有APIG解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对APIG日志进行SQL分析，并提供可视化图表。 自动为日志流添加标签：log_type=apig_layer_access 开启该按钮，自动为日志流添加标签（log_type=apig_layer_access）后，APIG仪表盘模板才能匹配该日志流。 自动为日志流创建仪表盘 开启该按钮，自动为日志流创建APIG仪表盘。 完成

采集配置 在使用CCE接入完成日志接入时，在第4步采集配置的具体配置如下： 基本信息：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 数据源配置：选择数据源类型，进行对应的数据源配置。 容器标准输出：采集集群内指定容器日志，仅支持Stderr和Stdout的日志。 被匹配上的容器的标准输出会采集到指定的日志流，原先采集到的AOM的标准输出会停止采集。 容器标准输出不能重复配置，即使跨日志组和日志流，也只能配置一次。 容器文件路径：采集集群内指定容器内的文件路径日志。 节点文件路径：采集集群内指定节点路径的文件。 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 表1 类型 参数配置 容器标准输出 采集容器标准输出（stdout）和采集容器标准错误（stderr）。两者必须得有一个是开启状态。 容器文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 说明： 当CCE集群的工作负载中，已配置容器的挂载路径时，此时路径配置里添加的路径将无效。须将CCE集群页面中的挂载路径删除后，该配置才有效。 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 节点文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 说明： 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 K8s匹配规则：当数据源类型选择容器标准输出和容器文件路径时，设置K8s匹配规则，非必选项。 表2 K8s匹配规则 参数名称 参数说明 K8s Namespace正则匹配 通过Namespace名称指定采集的容器，支持正则匹配。 说明： 采集名称符合正则规则的Namespace的日志，为空时采集所有Namespace的日志。 K8s Pod正则匹配 通过Pod名称指定待采集的容器，支持正则匹配。 说明： 采集名称符合正则规则的Pod的日志，为空时采集所有Pod的日志。 K8s容器名称正则匹配 通过容器名称指定待采集的容器（Kubernetes容器名称是定义在spec.containers中），支持正则匹配。 说明： 采集名称符合正则规则的容器的日志，为空时采集所有容器的日志。 容器Label白名单 通过容器Label白名单指定待采集的容器。如果您要设置容器Label白名单，那么LabelKey必填，LabelValue可选填。 说明： 如果LabelValue为空，则容器Label中包含LabelKey的容器都匹配；如果LabelValue不为空，则容器Label中包含LabelKey=LabelValue的容器才匹配；多个白名单之间为或关系，即只要容器Label满足任一白名单即可被匹配。 容器Label黑名单 通过容器Label黑名单排除不采集的容器。如果您要设置容器Label黑名单，那么LabelKey必填，LabelValue可选填。 说明： 如果LabelValue为空，则容器Label中包含LabelKey的容器都被排除；如果LabelValue不为空，则容器Label中包含LabelKey=LabelValue的容器才会被排除；多个黑名单之间为或关系，即只要容器Label满足任一黑名单即可被排除。 容器Label日志标签 设置容器Label日志标签后，日志服务将在日志中新增容器Label相关字段。 说明： 设置容器 Label日志标签后，lts将在日志中新增相关字段。例如设置LabelKey为app，设置LabelValue为app_alias，当容器中包含app=lts时，将在日志中添加的内容{app_alias：lts}。 环境变量白名单 用于指定待采集的容器。如果您要设置环境变量白名单，那么Label Key必填，Label Value可选填。 说明： 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都匹配；如果环境变量Value不为空，则容器环境变量中包含环境变量Key=环境变量Value的容器才被匹配；多个白名单之间为或关系，即只要容器的环境变量满足任一键值对即可被匹配。 环境变量黑名单 用于排除不采集的容器。如果您要设置环境变量黑名单，那么Label Key必填，Label Value可选填。 说明： 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都将被排除；如果环境变量Value不为空，则容器环境变量中包含环境变量Key=环境变量Value的容器才会被排除；多个黑名单之间为或关系，即只要容器的环境变量满足任一键值对即可被排除。 环境变量日志标签 设置环境变量日志标签后，日志服务将在日志中新增环境变量相关字段。 说明： 设置环境变量日志标签后，lts将在日志中新增相关字段，例如设置环境变量Key为app，设置环境变量Value为app_alias，当容器中包含环境变量app=lts时，将在日志中添加的内容为{app_alias：lts}。 高级配置：日志格式、日志时间具体说明如下： 表3 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明： 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：2019-01-01 23:59:59，时间通配符应该填写为：YYYY-MM-DD hh:mm:ss。 如果日志中的时间格式为：19-1-1 23:59:59，时间通配符应该填写为：YY-M-D hh:mm:ss。 说明： 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY - year (19) YYYY - year (2019) M - month (1) MM - month (01) D - day (1) DD - day (01) hh - hours (23) mm - minutes (59) ss - seconds (59) hpm - hours (03PM)h:mmpm - hours:minutes (03:04PM)h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 日志拆分 云日志服务支持对日志进行拆分，默认为关闭状态。 当日志大小超过500KB时，开启日志拆分按钮，则单条日志会被拆分为多条采集。例如：日志大小为600KB，被拆分为2条日志采集，第一条500KB，第二条100KB。 当日志大小超过500KB时，未开启日志拆分按钮，则单条日志大小限制不超过500KB，超过限制部分会被截断丢弃。 采集二进制文件 云日志服务支持采集二进制文件，默认为关闭状态。 您可以通过命令（file -i 文件名）查看文件类型，如果包含charset=binary，那么该日志文件就是二进制文件。 当日志的文件类型为二进制时，开启采集二进制文件按钮，则对接入的二进制文件日志进行采集，但仅支持UTF8编码的字符串，非UFT8编码的字符在LTS控制台页面会显示乱码。 当日志的文件类型为二进制时，未开启采集二进制文件按钮，则对接入的二进制文件日志停止采集，开启后即可进行采集。 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志-系统时间模式即可。

操作步骤 云日志服务接入方式选择CCE接入时，按照如下操作完成接入配置。 选择日志流 有两种采集方式：采集到自定义日志流和采集到集中日志流，您可以根据实际情况选择采集方式。 采集到自定义日志流 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步：安装日志采集组件”。 采集到集中日志流 集中采集日志到一个固定的日志流。CCE集群默认有四种采集日志流，目前仅支持三种，分别为标准输出/错误stdout-{ClusterID}、节点文件hostfile-{ClusterID}和容器文件containerfile-{ClusterID}。日志流名称会根据ClusterID自动命名，例如：集群ID为Cluster01，则标准输出/错误日志流为stdout-Cluster01。 在一个CCE集群下只能创建三条采集日志流，即三种日志流（标准输出/错误stdout-{ClusterID}、节点文件hostfile-{ClusterID}和容器文件containerfile-{ClusterID}），如果某个日志组下，已创建某种采集日志流，则不会在其他日志组或当前日志组下再创建该日志流。 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“下一步：安装日志采集组件” 安装日志采集组件 云容器引擎（CCE）日志采集组件安装方式： 1. 登录云日志服务管理控制台 2. 在控制台左侧导航栏中，单击“主机管理” 3. 在主机管理页面中，单击“主机>CCE集群”，并选择需要升级的CCE集群 4. 单击“升级ICAgent”按钮 5. 在升级提示弹框中单击“确认” CCE集群里的主机必须安装日志采集组件，否则将无法配置CCE接入。 若您的CCE集群已经安装ICAgent日志组件，请单击“确认安装完毕”。 选择主机组 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考创建主机组（自定义标识）。 主机组可以为空，可以在接入配置设置完成后对主机组进行设置。 在“主机管理 > 主机组”页面对主机组和接入配置进行关联。 在接入配置详情中对主机组和接入配置进行关联。 单击“下一步：采集配置”。 采集配置 设置具体的采集规则，具体可参考采集配置。 设置完成后单击“提交”。 完成

使用限制 目前不支持ServiceStage托管场景。 支持容器引擎为Docker的CCE集群节点。详情请查看云容器引擎（CCE）。 不支持使用Containerd作为容器引擎的集群节点。 不支持CCE的Turbo集群。 容器内的日志目录如果已挂载到主机目录上，将无法通过CCE接入LTS进行日志采集。 Docker存储驱动限制：容器文件日志采集目前仅支持overlay2存储驱动，不支持devicemapper作为存储驱动的节点。查看存储驱动类型，请使用如下命令： docker info | grep "Storage Driver" 如果选择日志流时，采集方式为采集到集中日志流时，则必须已购买CCE集群。