华为云用户手册

故障说明和处理建议 图1 Lite池故障处理流程 对于ModelArts Lite资源池，每个节点会以DaemonSet方式部署node-agent组件，该组件会检测节点状态，并将检测结果写到K8S NodeCondtition中。同时，节点故障指标默认会上报到 AOM ，您可在AOM配置告警通知。 当发生节点异常时，在故障初步分析阶段，您可先按表1识别是否为亚健康并自助进行处理，若不是，则为故障，请联系客户经理发起维修流程（若无客户经理可提交工单）。

解决方法 ModelArts全局配置的委托权限不足，导致创建失败？ 解决方法请参见ModelArts创建委托授权。 申请的资源中包含受限购买的资源规格，导致购买失败？ 当前modelarts.bm.npu.arm.8snt9b3.d为受限购买，需要提前联系ModelArts运营或提工单申请开通资源规格。 图2 报错信息 E CS 、EVS配额不足，导致创建失败？ 集群所需的ECS实例数、内存大小、CPU核数和EVS硬盘大小资源会超出华为云默认提供的资源配额，因此需要申请扩大配额。解决方法请参见申请扩大资源配额。 图3 报错信息（1） 图4 报错信息（2） 资源售罄或容量不足，导致创建失败？ 减少资源池节点数量，或提工单给ModelArts申请更多资源。 图5 报错信息 ECS、BMS节点创建失败？ 查看资源池失败报错信息： 包含错误码，如：Ecs.0000时，可查看弹性云服务器 ECS_错误码查看详细的错误信息及处理措施。 包含错误码，如：BMS.0001时，可查看裸金属服务器 BMS_错误码查看详细的错误信息及处理措施。 包含错误码，如：CCE.01400001时，可查看云容器引擎 CCE_错误码查看详细的错误信息及处理措施 其他报错请提工单联系ModelArts运维进一步定位解决。 集群纳管节点失败？ 查看资源池失败报错信息： 查看资源池失败报错信息，包含错误码，如：CCE.01400001时，可查看云容器引擎 CCE_错误码查看详细的错误信息及处理措施。 其他报错请提工单联系ModelArts运维进一步定位解决。 集群容器网段不足，导致创建失败？ 图6 报错信息 用户可根据实际业务场景和节点规模，自定义配置容器网段，配置方式如下： ModelArts Standard池，资源池创建阶段指定容器网段，根据实际需要设置更大的容器网段。 图7 设置容器网段 ModelArts Lite池，选择/创建具有更大容器网段的CCE集群。CCE容器网段配置参见网络规划。 账号冻结导致创建失败？ 查看资源池失败报错信息，存在"frozen deposit fail"，表示账号冻结导致资源创建失败。检查账号状态和资源欠费情况，账号解冻后重新购买资源。 订单取消导致资源创建失败？ 查看资源池失败报错信息，存在"the operation is canceled by customer"，表示资源池对应订单已取消，取消原因可能为超时未支付、用户自主取消，需重新购买。 其他错误 可通过F12查看浏览器请求信息，选择标红的pools接口，查看响应里的详细报错信息，如下图所示。通过错误提示修正输入参数后再次提交订单。 图8 报错信息 如CCE集群不可用，请检查CCE集群版本和状态。报错信息如下： { "error_code": "ModelArts.50004000", "error_msg": "Bad request. spec.clusters[0].providerId: Invalid value: \"77f6f112-a631-11eb-8dae-0255ac100b0d\": the cluster 77f6f112-a631-11eb-8dae-0255ac100b0d is not available" }

结构化模板日志详情 结构化模板示例 表2 结构化模板示例 模板名称 示例日志 APIG 100.125.7.59 f57f6523b675504a23887d0f5c1c8ef3 f5ea2360a2fa443cac236b76f4052ad6 - - [27/Jan/2022:15:56:44 +0800] 0.113 GET http://c965898968af48248ec7fac4ec0666f4.apic.cn-north-4.huaweicloudapis.com /api/echo HTTP/1.1 200 1443 408 "APIGatewayDebugClient/1.0" "-" "100.125.2.39:443" /v2/x/fgs/functions/urn:fss:cn-north-4:106506b9a92342df9a5025fc12351cfc:function:default:apigDemo_1640743997661:latest/invocations "200" "0.010" "0.083" "0.083" cn-north-4 0.083 0 - - - 0.03000020980835 - - "-" 486 HttpEchoDemo - - - "-" "-" "-" "-" "-" "-" "-" "-" "-" "-" "remote" "0.52" "http" "id" "-" "urn:fss:cn-north-7:6650ff66e4524699bea4c96ff2f268fe:function:default:test123hxy" 结构化字段详情 表3 结构化字段 字段 示例 描述 类型 my_remote_addr 100.125.7.59 用户的客户端IP地址 string request_id f57f6523b675504a23887d0f5c1c8ef3 请求ID string api_id f5ea2360a2fa443cac236b76f4052ad6 API ID string user_id - 用户名称 string app_id - 当使用APP认证访问时，请求方提供的APP ID string time_local 27/Jan/2022:15:56:44 请求时间 string request_time 0.113 请求延迟 float request_method GET HTTP请求方法 string scheme http 请求方式 string host c965898968af48248ec7fac4ec0666f4.apic.cn-north-4.huaweicloudapis.com 请求域名 string router_uri /api/echo 请求URI string server_protocol HTTP/1.1 请求协议 string status 200 响应状态码 long bytes_sent 1443 响应大小（单位：字节，包含状态行、响应头、响应体） long request_length 408 请求长度（单位：字节，包含起始行、请求头、请求体） long http_user_agent APIGatewayDebugClient/1.0 用户代理标识 string http_x_forwarded_for - X-Forwarded-For头 string upstream_addr 100.125.2.39:443 请求的后端地址 string upstream_uri /v2/x/fgs/functions/urn:fss:cn-north-4:106506b9a92342df9a5025fc12351cfc:function:default:apigDemo_1640743997661:latest/invocations 请求后端的URI string upstream_status 200 后端响应状态码 long upstream_connect_time 0.01 与后端建立连接所用时间 float upstream_header_time 0.083 从开始与后端建立连接到从后端获取到首字节所用时间 float upstream_response_time 0.083 从开始与后端建立连接到从后端获取到最后一个字节所用时间 float region_id cn-north-4 云服务区ID string all_upstream_response_time 0.083 从开始与后端建立连接到从后端获取到最后一个字节所用时间，单位秒。发生重试时，为所用时间总和 float errorType 0 API请求的错误类型 0：非流控错误 1：流控错误 long auth_type - API认证类型 string access_model1 - 认证模式1 string access_model2 - 认证模式2，开启双重认证时，为自定义认证编号 string inner_time 0.03000020980835 apig的内部处理时长，单位秒 float proxy_protocol_vni - VPC终端节点 的虚拟网络标识 string proxy_protocol_vpce_id - VPC终端节点的ID string proxy_protocol_addr - 客户端源IP地址 string body_bytes_sent 486 API请求的Body体大小，单位字节 long api_name HttpEchoDemo API名称 string app_name - 当使用APP认证访问时，请求方使用的APP名称 string provider_app_id - API所属的APP ID string provider_app_name - API所属的APP名称 string custom_data_log1 - 用户自定义日志字段值1 string custom_data_log2 - 用户自定义日志字段值2 string custom_data_log3 - 用户自定义日志字段值3 string custom_data_log4 - 用户自定义日志字段值4 string custom_data_log5 - 用户自定义日志字段值5 string custom_data_log6 - 用户自定义日志字段值6 string custom_data_log7 - 用户自定义日志字段值7 string custom_data_log8 - 用户自定义日志字段值8 string custom_data_log9 - 用户自定义日志字段值9 string custom_data_log10 - 用户自定义日志字段值10 string response_source remote 请求响应来源 local：APIG remote：后端服务 string gzip_ratio 0.52 原始响应body体大小与压缩后大小的比率。 float upstream_scheme http 后端协议类型。 string group_id id 分组ID。 string apig_err_code - 网关错误码。 string function_urn urn:fss:cn-north-7:6650ff66e4524699bea4c96ff2f268fe:function:default:test123hxy 函数的URN。 string

操作步骤 云日志 服务接入方式为API网关 APIG时，按照如下操作完成接入配置。 登录云日志服务控制台。 在左侧导航栏中，选择“日志接入”，单击“API网关 APIG”进行APIG接入配置。 选择日志流。 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：APIG配置。 APIG配置。 单击“前往APIG配置”。 在APIG控制台，选择API监控分析下的“ 日志分析 ”。 单击“配置访问日志”链接。 在弹出的配置访问日志页面中，选择对应的日志组和日志流。 APIG里具体的操作请参见日志分析。 单击下一步：日志流配置。 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，自动对日志流进行结构化配置和索引配置。日志流结构化配置为APIG系统模板；索引配置为所有APIG解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对APIG日志进行SQL分析，并提供可视化图表。 自动为日志流添加标签：log_type=apig_layer_access 开启该按钮，自动为日志流添加标签（log_type=apig_layer_access）后，APIG仪表盘模板才能匹配该日志流。 自动为日志流创建仪表盘 开启该按钮，自动为日志流创建APIG仪表盘。 完成。

创建多个接入配置的操作步骤 在接入规则页签，支持创建批量接入的任务。 支持批量创建接入，单击“批量接入”，进入配置详情页面，请参考表4。 结构化解析配置功能仅支持白名单用户使用，详细操作请参考ICAgent采集配置，有需要可提交工单申请使用，请参考提交工单。 表4 批量接入设置 类型 操作 说明 基本配置 接入类型 选择裸金属服务BMS-文本日志。 接入配置数量 在输入框填写接入配置数量，单击“添加接入配置”。 在接入配置下方默认已有1个接入配置，最多支持再添加99个数量，因此支持同时添加100个接入配置。 接入配置 接入列表 左侧显示接入配置的信息，最多支持添加99个配置。 右侧显示配置接入的内容，详细请参考创建单个接入配置的操作步骤进行设置。 一个接入配置设置完成后，单击“应用于其他接入规则”即可将该接入配置复制到其他接入配置。 单击参数检查，检查成功后，单击“提交”，批量接入设置完成。 例如添加了4个接入配置，批量创建成功后，在接入规则页签下方，就会显示4条接入配置数量。 （可选）支持对接入配置任务进行以下操作： 勾选多个已创建成功的接入配置，单击“批量编辑”进入配置详情页面，通过选择不同接入类型，修改对应的接入配置信息。 勾选多个已创建成功的接入配置，单击开启或关闭按钮。接入配置状态关闭后不会继续采集日志。 勾选多个已创建成功的接入配置，单击删除按钮即可批量删除接入配置。

采集配置 在使用主机接入完成日志接入时，采集配置的具体配置如下： 采集配置名称：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 导入旧版配置：将旧版主机接入配置导入到新版日志接入中。具体操作请参见如何升级使用新版日志接入。 若是新安装云日志服务的场景，页面没有显示“导入旧版配置”，则表示不需要导入旧版配置，直接新建配置即可。 若是升级云日志服务的场景，页面显示“导入旧版配置”，若需要旧版配置里的主机日志路径，可以选择导入旧版配置，或者直接新建配置。 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径支持递归路径，**表示递归5层目录。 示例：采集路径配置为 /var/logs/**/a.log，日志匹配如下： /var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。 采集路径中只能出现一次**，不能出现两个及以上。正确示例：/var/logs/**/a.log；错误示例：/opt/test/**/log/**。 采集路径中第一个层级不允许为**（避免误采集系统文件），错误示例：/**/test。 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。 如果配置了C:\windows\system32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。 示例1：采集路径配置为 /var/logs/*/a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如： /var/logs/1/a.log /var/logs/2/a.log 示例2：采集路径配置为 /var/logs/service-*/a.log，日志匹配示例： /var/logs/service-1/a.log /var/logs/service-2/a.log 示例3：采集路径配置为 /var/logs/service/a*.log，日志匹配示例： /var/logs/service/a1.log /var/logs/service/a2.log 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件。 如果配置的是文件名，则直接采集对应文件，只支持内容是文本格式的文件。可以通过file -i 文件名命令，查询文件格式。 添加自定义绕接规则，ICAgent目前是通过文件名规则来判断是否为绕接文件，如果您的绕接规则不符合内置类型时，可以通过单击“添加自定义绕接规则”来进行匹配，避免重复采集和绕接时的日志丢失。 内置类型为{basename}{连接符}{绕接标识}.后缀，{basename}.{后缀}{连接符}{绕接标识}。其中连接符为-._绕接标识为非字母符号，后缀为字母。 自定义绕接规则为{basename}+绕接文件的特征正则表达式组成匹配规则。（以下例子和截图仅供参考，请以实际日志文件为准） 例如您的日志文件名称为/opt/test.out.log，绕接后的文件名为test.2024-01-01.0.out.log，test.2024-01-01.1.out.log，因此在路径配置时，采集路径为/opt/*.log，绕接规则为{basename}\.[-0-9\.].out.log 请注意您的敏感信息是否在收集范围内。 当主机选择“Windows主机”时，如需采集系统日志，需要在“采集配置”环节，开启“采集Windows事件日志”。 windows事件日志采集不能重复配置，即相同主机下，即使跨日志组和日志流，也只能配置一次。 LTS暂不支持采集PostgreSQL（数据库）实例的日志，目前只支持采集安装在ECS（主机）实例的日志。 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能重复配置，否则可能会导致日志采集异常。 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。 配置采集的文件最后修改时间和当前时间差如果已超过12小时，则不会采集。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件，但是不能过滤该目录下文件夹里的日志文件。 目录和文件名支持完全匹配，也支持模糊匹配，具体可参考路径配置内容进行设置。 当设置的黑名单与配置的采集路径重复或者有重合时，优先过滤掉黑名单设置的文件。 已经加了黑名单的日志，新建日志接入也无法采集黑名单里的日志，除非在设置采集黑名单下方删除采集路径，才能重新采集。 采集Windows事件日志：当选择Windows主机采集日志时，需要开启“采集Windows事件日志”，配置如下参数： 表1 采集Windows事件日志参数 名称 说明 日志类型 日志类型有系统、应用程序、安全和启动。 首次采集时间偏移量 如设置为7天，表示从采集开始时间前7天内的日志（7天前的日志被忽略），该时间仅在首次配置采集生效，确保不会重复采集。最大支持设置为7天。 事件等级 事件等级有information、warning、error、critical和verbose。根据Windows事件等级过滤采集。仅支持Windows Vista及以上的操作系统。 开启结构化解析配置，详细操作请参考ICAgent采集配置。 需要ICAgent 5.12.147及以上版本，其优点是成本更低，支持组合解析，一个日志流的每个采集配置可以配置不同的结构化解析规则。 结构化解析配置功能仅支持白名单用户提交工单申请使用。详细操作请参考提交工单。 开通白名单后，若已经配置了云端结构化解析，请先删除后再配置ICAgent结构化解析。 图2 ICAgent结构化解析配置 其他配置。 表2 其他配置 名称 说明 日志拆分 云日志服务支持对日志进行拆分。 当日志大小超过500KB时，开启日志拆分按钮，则单行日志会被拆分为多行采集。例如：日志大小为600KB，被拆分为2行日志采集，第一行500KB，第二行100KB。 当日志大小超过500KB时，未开启日志拆分按钮，则单条日志大小限制不超过500KB，超过限制部分会被截断丢弃。 采集二进制文件 云日志服务支持采集二进制文件。 您可以通过命令（file -i 文件名）查看文件类型，如果包含charset=binary，那么该日志文件就是二进制文件。 当日志的文件类型为二进制时，开启采集二进制文件按钮，则对接入的二进制文件日志进行采集，但仅支持UTF8编码的字符串，非UFT8编码的字符在LTS控制台页面会显示乱码。 当日志的文件类型为二进制时，未开启采集二进制文件按钮，则对接入的二进制文件日志停止采集，开启后即可进行采集。 日志格式、日志时间具体说明如下： 表3 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明： 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：2019-01-01 23:59:59.011，时间通配符应该填写为：YYYY-MM-DD hh:mm:ss.SSS。 如果日志中的时间格式为：19-1-1 23:59:59.011，时间通配符应该填写为：YY-M-D hh:mm:ss.SSS。 说明： 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY - year (19) YYYY - year (2019) M - month (1) MM - month (01) D - day (1) DD - day (01) hh - hours (23) mm - minutes (59) ss - seconds (59) SSS - millisecond（999） hpm - hours (03PM) h:mmpm - hours:minutes (03:04PM) h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志-系统时间模式即可。

创建多个接入配置的操作步骤 在接入规则页签，支持创建批量接入的任务。 支持批量创建接入，单击“批量接入”，进入配置详情页面，请参考表5。 结构化解析配置功能仅支持白名单用户使用，详细操作请参考ICAgent采集配置，有需要可提交工单申请使用，请参考提交工单。 表5 批量接入设置 类型 操作 说明 基本配置 接入类型 选择云容器引擎 CCE-应用日志。 接入配置数量 在输入框填写接入配置数量，单击“添加接入配置”。 在接入配置下方默认已有1个接入配置，最多支持再添加99个数量，因此支持同时添加100个接入配置。 接入配置 接入列表 左侧显示接入配置的信息，最多支持添加99个配置。 右侧显示配置接入的内容，详细请参考创建单个接入配置的操作步骤进行设置。 一个接入配置设置完成后，单击“应用于其他接入规则”即可将该接入配置复制到其他接入配置。 单击参数检查，检查成功后，单击“提交”，批量接入设置完成。 例如添加了4个接入配置，批量创建成功后，在接入规则页签下方，就会显示4条接入配置数量。 （可选）支持对接入配置任务进行以下操作： 勾选多个已创建成功的接入配置，单击“批量编辑”进入配置详情页面，通过选择不同接入类型，修改对应的接入配置信息。 勾选多个已创建成功的接入配置，单击开启或关闭按钮。接入配置状态关闭后不会继续采集日志。 勾选多个已创建成功的接入配置，单击删除按钮即可批量删除接入配置。

采集配置 在使用CCE接入完成日志接入时，在采集配置页面的具体配置如下： 基本配置：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 数据源配置：选择数据源类型，进行对应的数据源配置。 容器标准输出：采集集群内指定容器日志，仅支持Stderr和Stdout的日志。 被匹配上的容器的标准输出会采集到指定的日志流，原先采集到的AOM的标准输出会停止采集。 容器标准输出不能重复配置，即使跨日志组和日志流，也只能配置一次。 容器文件路径：采集集群内指定容器内的文件日志。 节点文件路径：采集集群内指定节点的文件。 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 K8S事件：采集K8S集群内的事件日志。 K8S事件不能重复配置，即一个K8S集群的K8S事件，只能配置接入到一个日志流。 表1 采集配置参数表 类型 参数配置 容器标准输出 采集容器标准输出到AOM、采集容器标准输出（stdout）和采集容器标准错误（stderr）。 采集容器标准输出到AOM：默认集群下的主机已安装了ICAgent 且采集日志到AOM，采集容器标准输出到AOM的开关处于开启状态。开启后标准输出只会采集到AOM，不会采集到LTS，建议您手动关闭该开关。 采集容器标准输出（stdout）和采集容器标准错误（stderr）两者必须得有一个是开启状态。 容器文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 说明： 当CCE集群的工作负载中，已配置容器的挂载路径时，此时路径配置里添加的路径将无效。须将CCE集群页面中的挂载路径删除后，该配置才有效。 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 添加自定义绕接规则，ICAgent目前是通过文件名规则来判断是否为绕接文件，如果您的绕接规则不符合内置类型时，可以通过单击“添加自定义绕接规则”来进行匹配，避免重复采集和绕接时的日志丢失。 内置类型为{basename}{连接符}{绕接标识}.后缀，{basename}.{后缀}{连接符}{绕接标识}。其中连接符为-._绕接标识为非字母符号，后缀为字母。 自定义绕接规则为{basename}+绕接文件的特征正则表达式组成匹配规则。（以下例子和截图仅供参考，请以实际日志文件为准） 例如您的日志文件名称为/opt/test.out.log，绕接后的文件名为test.2024-01-01.0.out.log，test.2024-01-01.1.out.log，因此在路径配置时，采集路径为/opt/*.log，绕接规则为{basename}\.[-0-9\.].out.log 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 节点文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 说明： 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 添加自定义绕接规则，ICAgent目前是通过文件名规则来判断是否为绕接文件，如果您的绕接规则不符合内置类型时，可以通过单击“添加自定义绕接规则”来进行匹配，避免重复采集和绕接时的日志丢失。 内置类型为{basename}{连接符}{绕接标识}.后缀，{basename}.{后缀}{连接符}{绕接标识}。其中连接符为-._绕接标识为非字母符号，后缀为字母。 自定义绕接规则为{basename}+绕接文件的特征正则表达式组成匹配规则。（以下例子和截图仅供参考，请以实际日志文件为准） 例如您的日志文件名称为/opt/test.out.log，绕接后的文件名为test.2024-01-01.0.out.log，test.2024-01-01.1.out.log，因此在路径配置时，采集路径为/opt/*.log，绕接规则为{basename}\.[-0-9\.].out.log 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 K8S事件 无需设置参数。仅支持icagent 5.12.130及以上版本。 K8s匹配规则：当数据源类型选择容器标准输出和容器文件路径时，设置K8s匹配规则，非必选项。 填写正则匹配规则后，单击校验按钮，支持校验确保正则表达式的正确性。 表2 K8s匹配规则 参数名称 参数说明 K8s Namespace正则匹配 通过Namespace名称指定采集的容器，支持正则匹配。 说明： 采集名称符合正则规则的Namespace的日志，为空时采集所有Namespace的日志。 K8s Pod正则匹配 通过Pod名称指定待采集的容器，支持正则匹配。 说明： 采集名称符合正则规则的Pod的日志，为空时采集所有Pod的日志。 K8s容器名称正则匹配 通过容器名称指定待采集的容器（Kubernetes容器名称是定义在spec.containers中），支持正则匹配。 说明： 采集名称符合正则规则的容器的日志，为空时采集所有容器的日志。 K8s Label白名单 通过K8s Label白名单指定待采集的容器。如果您要设置K8s Label白名单，那么LabelKey必填，LabelValue可选填。 说明： 若LabelValue为空，则K8S Label中包含LabelKey的容器都匹配；若LabelValue不为空，则K8S Label中包含LabelKey=LabelValue的容器才匹配；LabelKey需要全匹配，LabelValue支持正则匹配；多个白名单之间为或关系，即只要K8S Label满足任一白名单即可被匹配。 K8s Label黑名单 通过K8s Label黑名单排除不采集的容器。如果您要设置K8s Label黑名单，那么LabelKey必填，LabelValue可选填。 说明： 若LabelValue为空，则K8S Label中包含LabelKey的容器都被排除；若LabelValue不为空，则K8S Label中包含LabelKey=LabelValue的容器才会被排除；LabelKey需要全匹配，LabelValue支持正则匹配；多个黑名单之间为或关系，即只要K8S Label满足任一黑名单即可被排除。 K8s Label日志标签 设置K8s Label日志标签后，日志服务将在日志中新增K8s Label相关字段。 说明： 设置K8s Label日志标签后，lts将在日志中新增相关字段。例如设置LabelKey为app，设置LabelValue为app_alias，当容器中包含app=lts时，将在日志中添加内容{app_alias：lts}。 容器Label白名单 通过容器Label白名单指定待采集的容器。如果您要设置容器Label白名单，那么LabelKey必填，LabelValue可选填。 说明： 若LabelValue为空，则容器 Label中包含LabelKey的容器都匹配；若LabelValue不为空，则容器 Label中包含LabelKey=LabelValue的容器才匹配；LabelKey需要全匹配，LabelValue支持正则匹配；多个白名单之间为或关系，即只要容器 Label满足任一白名单即可被匹配。 容器Label黑名单 通过容器Label黑名单排除不采集的容器。如果您要设置容器Label黑名单，那么LabelKey必填，LabelValue可选填。 说明： 若LabelValue为空，则容器 Label中包含LabelKey的容器都被排除；若LabelValue不为空，则容器 Label中包含LabelKey=LabelValue的容器才会被排除；LabelKey需要全匹配，LabelValue支持正则匹配；多个黑名单之间为或关系，即只要容器 Label满足任一黑名单即可被排除。 容器Label日志标签 设置容器Label日志标签后，日志服务将在日志中新增容器Label相关字段。 说明： 设置容器 Label日志标签后，lts将在日志中新增相关字段。例如设置LabelKey为app，设置LabelValue为app_alias，当容器中包含app=lts时，将在日志中添加的内容{app_alias：lts}。 环境变量白名单 用于指定待采集的容器。如果您要设置环境变量白名单，那么Label Key必填，Label Value可选填。 说明： 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都匹配；如果环境变量Value不为空，则容器环境变量中包含环境变量Key=环境变量Value的容器才被匹配；LabelKey需要全匹配，LabelValue支持正则匹配；多个白名单之间为或关系，即只要容器的环境变量满足任一键值对即可被匹配。 环境变量黑名单 用于排除不采集的容器。如果您要设置环境变量黑名单，那么Label Key必填，Label Value可选填。 说明： 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都将被排除；如果环境变量Value不为空，则容器环境变量中包含环境变量Key=环境变量Value的容器才会被排除；LabelKey需要全匹配，LabelValue支持正则匹配；多个黑名单之间为或关系，即只要容器的环境变量满足任一键值对即可被排除。 环境变量日志标签 设置环境变量日志标签后，日志服务将在日志中新增环境变量相关字段。 说明： 设置环境变量日志标签后，lts将在日志中新增相关字段，例如设置环境变量Key为app，设置环境变量Value为app_alias，当容器中包含环境变量app=lts时，将在日志中添加的内容为{app_alias：lts}。 开启结构化解析配置，详细操作请参考ICAgent采集配置。 需要ICAgent 5.12.147及以上版本，其优点是成本更低，支持组合解析，一个日志流的每个采集配置可以配置不同的结构化解析规则。 结构化解析配置功能仅支持白名单用户提交工单申请使用。详细操作请参考提交工单。 开通白名单后，若已经配置了云端结构化解析，请先删除后再配置ICAgent结构化解析。 图3 ICAgent结构化解析配置 其他配置。 表3 其他配置 名称 说明 最大目录深度 最大目录深度为5层。 该配置控制日志采集的最大目录深度，LogListener不会采集所在目录层级超过指定最大目录深度的日志文件。当你目标采集路径包含模糊匹配时，建议配置合适的最大目录深度，避免LogListener性能浪费。 日志拆分 云日志服务支持对日志进行拆分。 当日志大小超过500KB时，开启日志拆分按钮，则单行日志会被拆分为多行采集。例如：日志大小为600KB，被拆分为2行日志采集，第一行500KB，第二行100KB。 当日志大小超过500KB时，未开启日志拆分按钮，则单条日志大小限制不超过500KB，超过限制部分会被截断丢弃。 采集二进制文件 云日志服务支持采集二进制文件。 您可以通过命令（file -i 文件名）查看文件类型，如果包含charset=binary，那么该日志文件就是二进制文件。 当日志的文件类型为二进制时，开启采集二进制文件按钮，则对接入的二进制文件日志进行采集，但仅支持UTF8编码的字符串，非UFT8编码的字符在LTS控制台页面会显示乱码。 当日志的文件类型为二进制时，未开启采集二进制文件按钮，则对接入的二进制文件日志停止采集，开启后即可进行采集。 日志文件编码 日志文件编码为UTF-8。 采集策略 采集策略支持增量或全量。 增量采集：ICAgent采集新文件时，从文件的末尾开始读。 全量采集：ICAgent采集新文件时，从文件的开头开始读。 日志格式、日志时间具体说明如下： 不再推荐使用以下功能，建议使用结构化解析配置。 如果您配置了ICAgent的多行全文或者多行完全正则，此处的多行日志配置会失效。 表4 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明： 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：2019-01-01 23:59:59.011，时间通配符应该填写为：YYYY-MM-DD hh:mm:ss.SSS。 如果日志中的时间格式为：19-1-1 23:59:59.011，时间通配符应该填写为：YY-M-D hh:mm:ss.SSS。 说明： 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY - year (19) YYYY - year (2019) M - month (1) MM - month (01) D - day (1) DD - day (01) hh - hours (23) mm - minutes (59) ss - seconds (59) SSS - millisecond（999） hpm - hours (03PM) h:mmpm - hours:minutes (03:04PM) h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志-系统时间模式即可。

使用限制 目前不支持ServiceStage托管场景。 支持容器引擎为Docker的CCE集群节点。详情请查看云容器引擎（CCE） 支持使用Containerd作为容器引擎的CCE集群节点（ICAgent 5.12.130及以上版本）。 支持 CCE Turbo 集群（ICAgent 5.12.130及以上版本）。 容器内的日志目录如果已挂载到主机目录上，将无法通过配置容器文件路径方式采集到LTS，只能通过配置节点文件路径方式采集到LTS。 Docker存储驱动限制：容器文件日志采集目前仅支持overlay2存储驱动，不支持devicemapper作为存储驱动的节点。查看存储驱动类型，请使用如下命令： docker info | grep "Storage Driver" 如果选择日志流时，采集方式为采集到集中日志流时，则必须已创建CCE集群。

ELB仪表盘模板 当日志流标签为log_type=elb_7layer_access或结构化配置了ELB模板时，可使用ELB仪表盘模板查看指标。ELB仪表盘模板分组里有三种仪表盘模板，分别是ELB监控中心、ELB访问中心和ELB秒级监控。更多内容请参考ELB日志中心。 ELB7层监控中心：主要展示ELB日志的访问量PV、访问量UV、流量、访问失败率、延迟、Host请求TOP、Host延迟TOP、Host失败率TOP、URL请求TOP、URL延迟TOP、URL失败率TOP、后端请求TOP、后端延迟TOP、后端失败率TOP等指标。 ELB7层访问中心：主要展示ELB日志的PV对比、访问量PV分布（中国）、访问量PV分布（世界）、访问量UV分布（中国）、访问量UV分布（世界）、平均时延分布（中国）、平均时延分布（世界）、今日PV/UV、7日PV/UV、区域访问TOP10(省份)、区域访问TOP10(城市)、Host访问TOP10、UserAgent访问TOP10、设备占比(终端)、设备占比(系统)、TOP URL、TOP 访问IP等指标。 ELB7层秒级监控：该仪表盘支持通过负载均衡器、客户端IP、后端服务器IP或弹性IP地址过滤信息。主要展示ELB日志的QPS、成功率、延迟、流量、状态码、Upstream状态码等指标。

WAF仪表盘模板 当日志流标签为log_type=waf_access（访问日志中心）、log_type=waf_attack（安全日志中心）或结构化配置了WAF模板时，可使用WAF仪表盘模板查看指标。WAF仪表盘模板分组里有两种仪表盘模板，分别是WAF访问日志中心和WAF安全日志中心。更多内容请参考WAF日志中心。 WAF访问日志中心：该仪表盘主要展示WAF访问日志的访问量PV、访问量UV、流入流量、网络in带宽峰值、网络out带宽峰值、流量带宽趋势、PV/UV趋势、访问状态分布、访问来源等指标。 WAF安全日志中心：该仪表盘主要展示WAF安全日志的攻击峰值、被攻击网站、Web攻击拦截、CC攻击拦截、攻击者UV、攻击类型分布、CC攻击、Web攻击等指标。

NGINX仪表盘模板 当日志流标签为log_type=nginx_access或结构化配置了NGINX模板时，可使用NGINX仪表盘模板查看指标。NGINX仪表盘模板分组里有三种仪表盘模板，分别是NGINX监控中心、NGINX访问中心和NGINX秒级监控。更多内容请参考NGINX日志中心。 NGINX监控中心：该仪表盘主要展示NGINX日志的访问量PV、访问量UV、流量、访问失败率、延迟、Host请求TOP、Host延迟TOP、Host失败率TOP、URL请求TOP、URL延迟TOP、URL失败率TOP、后端请求TOP、后端延迟TOP、后端失败率TOP等指标。 NGINX访问中心：该仪表盘主要展示NGINX日志的PV对比、访问量PV分布（中国）、访问量PV分布（世界）、访问量UV分布（中国）、访问量UV分布（世界）、平均时延分布（中国）、平均时延分布（世界）、今日PV/UV、7日PV/UV、区域访问TOP10(省份)、区域访问TOP10(城市)、Host访问TOP10、UserAgent访问TOP10、设备占比(终端)、设备占比(系统)、TOP URL、TOP 访问IP等指标。 NGINX秒级监控：该仪表盘主要展示NGINX日志的QPS、成功率、延迟、流量、状态码、Upstream状态码等指标。

VPC仪表盘模板 当日志流标签为log_type=vpc_flow或结构化配置了VPC模板时，可使用VPC仪表盘模板查看指标。VPC仪表盘模板分组里有VPC流日志仪表盘模板。更多内容请参考VPC日志流中心。 VPC流日志：该仪表盘主要展示VPC流日志的Action总次数、ACCEPT总字节数、ACCEPT总包数、REJECT总字节数、REJECT总包数、源地址的Action次数分布、每分钟Action次数、Action分布、流日志记录状态分布、Action次数的源地址运营商分布、Top5字节数的源地址、Top5字节数的目标地址、各协议的每分钟包数和弹性网卡等指标。

APIG仪表盘模板 当日志流标签为log_type=apig_access或结构化配置了APIG模板时，可使用APIG仪表盘模板查看指标。APIG仪表盘模板分组里有三种仪表盘模板，分别是APIG监控中心、APIG访问中心和APIG秒级监控。更多内容请参考APIG日志中心。 APIG监控中心：该仪表盘支持通过请求域名或app_id过滤信息。主要展示APIG日志的访问量PV、访问量UV、流量、访问失败率、延迟、Host请求TOP、Host延迟TOP、Host失败率TOP、URL请求TOP、URL延迟TOP、URL失败率TOP、后端请求TOP、后端延迟TOP、后端失败率TOP等指标。 APIG访问中心：该仪表盘支持通过请求域名或app_id过滤信息。主要展示APIG日志的PV对比、访问量PV分布（中国）、访问量PV分布（世界）、访问量UV分布（中国）、访问量UV分布（世界）、平均时延分布（中国）、平均时延分布（世界）、今日PV/UV、7日PV/UV、区域访问TOP10(省份)、区域访问TOP10(城市)、Host访问TOP10、UserAgent访问TOP10、设备占比(终端)、设备占比(系统)、TOP URL、TOP 访问IP等指标。 APIG秒级监控：该仪表盘支持通过请求域名或app_id过滤信息。主要展示APIG日志的QPS、成功率、延迟、流量、状态码、Upstream状态码等指标。

CDN仪表盘模板 当日志流标签为log_type=cdn_access或结构化配置了CDN模板时，可使用CDN仪表盘模板查看指标。CDN仪表盘模板分组里有四种仪表盘模板，分别是CDN基础数据、CDN热门资源、CDN用户分析和CDN错误分析。更多内容请参考CDN日志中心。 CDN基础数据：该仪表盘主要展示CDN日志的缓存命中率、访问状态、访问延时分布、请求带宽、下载速度、访问次数/人数、请求命中率和访问平均延时等指标。 CDN热门资源：该仪表盘主要展示CDN日志的域名访问次数Top5、域名下载流量Top5、热门访问（URI）、热门访问（来源）、全国访问次数分布统计、全国下载网速统计、省份统计、运营商流量和速度和运营商统计等指标。 CDN用户分析：该仪表盘主要展示CDN日志的访问次数、访问客户端统计、运营商次数统计、访问人数、访问地区分布、有效访问用户TOP和下载量TOP用户等指标。 CDN错误分析：该仪表盘主要展示CDN日志的错误域名访问Top5、错误URI访问Top5、错误请求状态分布、错误按运营商统计、错误按客户端统计、错误按省份统计、4XX错误详情、5XX错误详情和错误按国家统计等指标。

CFW仪表盘模板 当日志流标签为log_type=cfw_flow或结构化配置了CFW_FLOW模板时，可使用CFW仪表盘模板查看指标。CFW仪表盘模板分组里有三种仪表盘模板，分别是CFW流量日志中心、CFW访问日志中心和CFW攻击日志中心。更多内容请参考CFW日志中心。 CFW流量日志中心：该仪表盘主要展示CFW日志的互联网访问流量趋势、互联网访问流入地域分布、互联网访问应用分布、互联网访问源IP TOP5、互联网访问目的IP TOP5、主动外联流量趋势、主动外联目的地域分布、主动外联-应用分布、主动外联源IP TOP5和主动外联目的IP TOP5等指标。 CFW访问日志中心：该仪表盘主要展示CFW日志的互联网访问-拦截趋势、主动外联-拦截趋势、互联网阻断应用TOP5、互联网阻断目的TOP5、互联网阻断来源TOP5、主动外联阻断应用TOP5、主动外联阻断目的TOP5和主动外联阻断来源TOP5等指标。 CFW攻击日志中心：该仪表盘主要展示CFW日志的攻击趋势、攻击来源分布、TOP5 执行命令、攻击目的TOP5和攻击来源TOP5等指标。

CCE仪表盘模板 CCE仪表盘模板分组里有7种仪表盘模板，分别是CCE日志节点操作、CCE日志K8s对象操作、CCE日志K8s事件查询、CCE日志K8s事件中心、CCE日志聚合检索、CCE日志账号操作审计、CCE日志审计中心。更多内容请参考CCE日志中心。 CCE日志节点操作：该仪表盘支持通过节点名称、操作用户、状态码或操作类型过滤信息。主要展示节点数趋势、非系统用户操作趋势、create操作状态码分布、delete操作状态码分布等。 CCE日志K8s对象操作：该仪表盘支持通过命名空间、操作用户、状态码等过滤信息。主要展示重要操作趋势、非系统用户操作趋势、create操作资源类型分布、delete操作资源类型分布等。 CCE日志K8s事件查询：该仪表盘支持通过事件等级、事件类型、集群ID等过滤信息。主要展示事件总数、普通事件数、重要事件分布、警告事件数等。 CCE日志K8s事件中心：该仪表盘支持通过事件等级、事件类型、集群ID等过滤信息。主要展示节点FD不足、节点磁盘空间不足、事件同步异常、事件分布等。 CCE日志聚合检索：该仪表盘支持通过命名空间、操作用户、状态码等过滤信息。主要展示用户分布趋势、命名空间分布趋势、操作类型分布趋势、状态码分布趋势等。 CCE日志账号操作审计：该仪表盘支持通过用户名、命名空间、状态码过滤信息。主要展示资源创建数、资源修改数、资源删除数、操作命名空间分布等。 CCE日志审计中心：该仪表盘支持通过命名空间、操作用户、状态码等过滤信息。主要展示总审计记录数、操作用户数、活跃节点数、异常访问次数等。

继承批量安装（Linux环境） 您有多个服务器需要安装ICAgent，其中一个服务器已经通过首次安装方式装好了ICAgent，且该服务器“/opt/ICAgent/”路径下存在ICAgent的安装包ICProbeAgent.tar.gz，对于没有安装ICAgent的服务器，可以通过该方式对服务器进行一键式继承批量安装。 批量安装的服务器需同属一个VPC下，并在同一个网段中。 批量安装功能依赖python3.*版本，如果安装时提示找不到python请安装python版本后重试。

使用限制 Linux环境：支持安装ICAgent的Linux操作系统。 Windows环境：仅支持在如下64位系统的Windows环境中安装ICAgent。 Windows Server 2016 R2 Datacenter Windows Server 2016 R2 Standard Windows Server 2016 Datacenter English Windows Server 2016 R2 Standard English Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 Datacenter English Windows Server 2012 R2 Standard English Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Enterprise English Windows Server 2008 R2 Standard English Windows环境不支持在云日志服务主机管理界面对ICAgent进行升级和卸载操作，只支持日志采集功能。如果需要使用新版本，请先卸载旧版本ICAgent，再安装新版本ICAgent即可。

自定义模板 在“选择模板”下，选择“自定义模板”，选择已有的结构化模板。模板来源有以下两种方式： 在配置正则分析、JSON、分隔符或Nginx方式时单击左下角的“另存为模板”，系统会弹出“另存模板”页面，输入模板名称，单击“确定”，完成自定义模板的保存，会在“自定义模板”下的模板列表看到该模板。 新增结构化模板，具体操作如下： 在“选择模板”下，选择“自定义模板”，单击“新增结构化模板”，在“新增结构化模板”界面选择正则分析、JSON、分隔符或Nginx方式，进行配置，配置完成后输入模板名称，单击“确定”。完成自定义模板的保存，会在“自定义模板”下的模板列表看到该模板。

创建多个接入配置的操作步骤 在接入规则页签，支持创建批量接入的任务。 支持批量创建接入，单击“批量接入”，进入配置详情页面，请参考表4。 结构化解析配置功能仅支持白名单用户使用，详细操作请参考ICAgent采集配置，有需要可提交工单申请使用，请参考提交工单。 表4 批量接入设置 类型 操作 说明 基本配置 接入类型 选择云主机 ECS-文本日志。 接入配置数量 在输入框填写接入配置数量，单击“添加接入配置”。 在接入配置下方默认已有1个接入配置，最多支持再添加99个数量，因此支持同时添加100个接入配置。 接入配置 接入列表 左侧显示接入配置的信息，最多支持添加99个配置。 右侧显示配置接入的内容，详细请参考创建单个接入配置的操作步骤进行设置。 一个接入配置设置完成后，单击“应用于其他接入规则”即可将该接入配置复制到其他接入配置。 单击参数检查，检查成功后，单击“提交”，批量接入设置完成。 例如添加了4个接入配置，批量创建成功后，在接入规则页签下方，就会显示4条接入配置数量。 （可选）支持对接入配置任务进行以下操作： 勾选多个已创建成功的接入配置，单击“批量编辑”进入配置详情页面，通过选择不同接入类型，修改对应的接入配置信息。 勾选多个已创建成功的接入配置，单击开启或关闭按钮。接入配置状态关闭后不会继续采集日志。 勾选多个已创建成功的接入配置，单击删除按钮即可批量删除接入配置。

采集配置 在使用主机接入完成日志接入时，采集配置的具体配置如下： 采集配置名称：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 导入旧版配置：将旧版主机接入配置导入到新版日志接入中。具体操作请参见如何升级使用新版日志接入。 若是新安装云日志服务的场景，页面没有显示“导入旧版配置”，则表示不需要导入旧版配置，直接新建配置即可。 若是升级云日志服务的场景，页面显示“导入旧版配置”，若需要旧版配置里的主机日志路径，可以选择导入旧版配置，或者直接新建配置。 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径支持递归路径，**表示递归5层目录。 示例：采集路径配置为 /var/logs/**/a.log，日志匹配如下： /var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。 采集路径中只能出现一次**，不能出现两个及以上。正确示例：/var/logs/**/a.log；错误示例：/opt/test/**/log/**。 采集路径中第一个层级不允许为**（避免误采集系统文件），错误示例：/**/test。 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。 如果配置了C:\windows\system32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。 示例1：采集路径配置为 /var/logs/*/a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如： /var/logs/1/a.log /var/logs/2/a.log 示例2：采集路径配置为 /var/logs/service-*/a.log，日志匹配示例： /var/logs/service-1/a.log /var/logs/service-2/a.log 示例3：采集路径配置为 /var/logs/service/a*.log，日志匹配示例： /var/logs/service/a1.log /var/logs/service/a2.log 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件。 如果配置的是文件名，则直接采集对应文件，只支持内容是文本格式的文件。可以通过file -i 文件名命令，查询文件格式。 添加自定义绕接规则，ICAgent目前是通过文件名规则来判断是否为绕接文件，如果您的绕接规则不符合内置类型时，可以通过单击“添加自定义绕接规则”来进行匹配，避免重复采集和绕接时的日志丢失。 内置类型为{basename}{连接符}{绕接标识}.后缀，{basename}.{后缀}{连接符}{绕接标识}。其中连接符为-._绕接标识为非字母符号，后缀为字母。 自定义绕接规则为{basename}+绕接文件的特征正则表达式组成匹配规则。（以下例子和截图仅供参考，请以实际日志文件为准） 例如您的日志文件名称为/opt/test.out.log，绕接后的文件名为test.2024-01-01.0.out.log，test.2024-01-01.1.out.log，因此在路径配置时，采集路径为/opt/*.log，绕接规则为{basename}\.[-0-9\.].out.log 请注意您的敏感信息是否在收集范围内。 当主机选择“Windows主机”时，如需采集系统日志，需要在“采集配置”环节，开启“采集Windows事件日志”。 windows事件日志采集不能重复配置，即相同主机下，即使跨日志组和日志流，也只能配置一次。 LTS暂不支持采集PostgreSQL（数据库）实例的日志，目前只支持采集安装在ECS（主机）实例的日志。 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能重复配置，否则可能会导致日志采集异常。 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。 配置采集的文件最后修改时间和当前时间差如果已超过12小时，则不会采集。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件，但是不能过滤该目录下文件夹里的日志文件。 目录和文件名支持完全匹配，也支持模糊匹配，具体可参考路径配置内容进行设置。 当设置的黑名单与配置的采集路径重复或者有重合时，优先过滤掉黑名单设置的文件。 已经加了黑名单的日志，新建日志接入也无法采集黑名单里的日志，除非在设置采集黑名单下方删除采集路径，才能重新采集。 采集Windows事件日志：当选择Windows主机采集日志时，需要开启“采集Windows事件日志”，配置如下参数： 表1 采集Windows事件日志参数 名称 说明 日志类型 日志类型有系统、应用程序、安全和启动。 首次采集时间偏移量 如设置为7天，表示从采集开始时间前7天内的日志（7天前的日志被忽略），该时间仅在首次配置采集生效，确保不会重复采集。最大支持设置为7天。 事件等级 事件等级有information、warning、error、critical和verbose。根据Windows事件等级过滤采集。仅支持Windows Vista及以上的操作系统。 开启结构化解析配置，详细操作请参考ICAgent采集配置。 需要ICAgent 5.12.147及以上版本，其优点是成本更低，支持组合解析，一个日志流的每个采集配置可以配置不同的结构化解析规则。 结构化解析配置功能仅支持白名单用户提交工单申请使用。详细操作请参考提交工单。 开通白名单后，若已经配置了云端结构化解析，请先删除后再配置ICAgent结构化解析。 图2 ICAgent结构化解析配置 其他配置。 表2 其他配置 名称 说明 日志拆分 云日志服务支持对日志进行拆分。 当日志大小超过500KB时，开启日志拆分按钮，则单行日志会被拆分为多行采集。例如：日志大小为600KB，被拆分为2行日志采集，第一行500KB，第二行100KB。 当日志大小超过500KB时，未开启日志拆分按钮，则单条日志大小限制不超过500KB，超过限制部分会被截断丢弃。 采集二进制文件 云日志服务支持采集二进制文件。 您可以通过命令（file -i 文件名）查看文件类型，如果包含charset=binary，那么该日志文件就是二进制文件。 当日志的文件类型为二进制时，开启采集二进制文件按钮，则对接入的二进制文件日志进行采集，但仅支持UTF8编码的字符串，非UFT8编码的字符在LTS控制台页面会显示乱码。 当日志的文件类型为二进制时，未开启采集二进制文件按钮，则对接入的二进制文件日志停止采集，开启后即可进行采集。 日志格式、日志时间具体说明如下： 表3 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明： 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：2019-01-01 23:59:59.011，时间通配符应该填写为：YYYY-MM-DD hh:mm:ss.SSS。 如果日志中的时间格式为：19-1-1 23:59:59.011，时间通配符应该填写为：YY-M-D hh:mm:ss.SSS。 说明： 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY - year (19) YYYY - year (2019) M - month (1) MM - month (01) D - day (1) DD - day (01) hh - hours (23) mm - minutes (59) ss - seconds (59) SSS - millisecond（999） hpm - hours (03PM) h:mmpm - hours:minutes (03:04PM) h:mm:sspm - hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志-系统时间模式即可。

日志示例 以下是一条典型日志，content字段值是日志原文，使用分隔符逗号将原始日志解析成3个字段level、status、message； 示例日志中的hostName、hostIP、pathFile是常见的内置保留字段，详细内置字段请参考内置保留字段。 { "hostName":"epstest-xx518", "hostIP":"192.168.0.31", "pathFile":"stdout.log", "content":"error,400,I Know XX", "level":"error", "status":400, "message":"I Know XX" }

注意事项 全文索引属性和字段索引属性必须至少启用一种。 创建索引会产生索引流量和索引存储空间，费用说明请参见价格计算器。 索引配置（新增、编辑、删除字段，修改配置项等操作）只对新写入的日志生效，历史日志不会生效。当前不支持对历史日志重建索引。 关闭索引后，历史索引的存储空间将在当前日志流的数据保存时间到期后，自动被清除。 日志服务默认已为部分内置保留字段创建字段索引，请参见内置保留字段。 不同的索引配置，会产生不同的查询和分析结果，请根据您的需求，合理创建索引。全文索引和字段索引互不影响。 索引配置修改后，对新写入的日志数据生效，历史日志数据不会生效。 在字段索引功能上线前，SQL分析支持的字段来自于云端结构化解析；在字段索引功能上线后，只要用户配置了字段索引，SQL分析支持的字段将来自于字段索引，因此修改字段索引可能对现有的可视化图表、仪表盘、SQL告警、定时SQL、Grafana接入中的查询结果产生影响，请谨慎操作！ 字段索引配置为JSON数据类型时，在原始日志页面不支持对JSON子字段使用快速分析、跳转图表，不支持可视化；在搜索分析页面下支持JSON子字段使用快速分析和SQL可视化功能。 字段索引配置为JSON数据类型时，对JSON父字段查询时支持对命中结果高亮，对JSON子字段查询时不支持对命中结果高亮。

索引类型 云日志服务的索引类型如下： 表1 索引类型表 索引类型 说明 全文索引 开启全文索引后，日志服务根据您设置的分词符将整条日志所有字段值拆分成多个词并构建索引。 说明： 用户上传的自定义标签（label）字段，不包含在全文索引中，如果您需要搜索自定义标签字段，请添加对应的字段索引。 LTS内置保留字段，不包含在全文索引中，您需要通过字段索引Key:Value的方式进行搜索，请参考内置保留字段。 字段索引 配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。 说明： 日志服务默认为部分内置保留字段创建字段索引，请参考内置保留字段。 如果您的某个字段单独配置了字段索引，那么该字段值的分词符以字段索引配置为准。 结构化配置中的的快速分析列已被移除，如果您要使用快速分析功能，则必须配置字段索引且开启对应字段的快速分析按钮。 关于日志示例有两种情况： 在日志示例中，配置了level和status两个字段索引，其中level是string类型，字段值是error，单独配置了分词符，status是long类型，不需要配置分词符；您可以使用level : error的方式精确搜索level字段值为error的所有日志。 在日志示例中， 云日志服务LTS 会默认为hostName、hostIP、pathFile这些内置保留字段创建字段索引。

日志采集 为了减少内存、数据库和磁盘空间占用，您可以按需进行日志采集设置。日志采集开关用来控制是否对日志数据进行采集。 在云日志服务管理控制台，单击“配置中心”，选择“ICAgent采集开关”。 单击开启或关闭“ICAgent采集开关”。 图1 ICAgent采集开关 采集开关默认打开，当您不需要采集日志时，可通过关闭采集开关来停止日志采集，以减少资源占用。 日志采集关闭后，ICAgent会停止采集日志，且在 应用运维管理 AOM控制台的“日志采集开关”也会同步关闭。 采集Syslog日志到AOM。开关关闭后，ICAgent将不会采集Syslog日志到AOM1.0，此功能仅支持5.12.182以上版本的ICAgent。 采集容器标准输出到AOM。选择CCE集群，开启或关闭应用到该集群。开关关闭后，ICAgent将不会采集标准输出日志到AOM，此功能仅支持5.12.133以上版本的ICAgent。 父主题： 配置中心

创建日志流 在云日志服务管理控制台，单击日志组名称对应的按钮。 单击展开页面左上角的“创建日志流”，输入日志流名称，名称需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。 长度为1-64个字符。 日志采集后，以日志流为单位，将多条日志数据发往云日志服务。如果日志较多，需要分门别类，建议您创建多个日志流，并给日志流做好命名，方便后续快速查找日志。 在“企业项目”处选择业务需要的企业项目，也可单击“查看企业项目”，在企业项目管理页面查看全部企业项目。 开启日志存储：开启日志存储：日志将会被存入搜索引擎，能使用日志全量功能。关闭日志存储：日志不会落盘存储，可节约索引流量和存储费用，只能使用日志生成指标、转储功能，不能使用日志搜索分析、告警、消费加工等其他功能。 若关闭日志存储，则无法开启日志存储时间。 开启日志存储时间，使用日志流的日志存储时间，关闭日志存储时间，使用日志组的日志存储时间。 开启日志存储时间后，根据需要是否开启智能冷存储，详细操作请参考智能冷存储。 匿名写入默认关闭，适用于安卓/IOS/小程序/浏览器端上报日志，打开匿名写入则表示该日志流打开匿名写入权限，不会经过有效鉴权，可能产生脏数据。关于SDK使用请参考SDK接入。 自定义设置标签值，按照“标签键=标签值”的形式填写，例如a=b，详细请参考标签管理。 填写“备注”，字符长度0-1024个字符。 单击“确定”，完成日志流的创建。在日志流列表中，可以查看日志流名称、操作等信息。 支持查看日志流计费状态，日志计费请参考价格计算器。 按日志流维度上报话单功能目前在友好用户内测中，您可以提交工单申请开通。

修改日志流 日志流默认的存储时间和日志组保持一致。 在日志流列表中，单击待修改日志流所在行的按钮。 在弹出框中，支持修改日志流名称、日志存储时间等信息。 图1 修改日志流 关闭开关：日志流会使用日志组配置的日志存储时间。 打开开关：使用日志流配置的日志存储时间。 超出存储时间的日志将会被自动删除，您可以按需将日志数据转储至OBS桶中进行长期存储。 目前白名单用户的日志存储时间支持1095天，如有需要，请提交工单申请。 添加标签请参考标签管理。 单击“确定”。 修改完成后，鼠标悬浮在日志流名称上，显示修改后日志流名称和日志流原始名称。 图2 日志流名称

删除日志流 如果日志流不再需要使用，可以删除日志流，日志流删除后，日志流中的日志数据将被同时删除。日志流删除后无法恢复，请谨慎操作。 删除日志流前请确认该日志流下没有配置日志采集任务，否则删除后可能影响正常的日志上报。 如果日志流绑定了日志转储任务，删除日志流之前，需要先删除该日志流关联的日志转储任务。 在日志流列表中，单击待删除日志流所在行的。 在弹出框中输入“DELETE”后，单击“确定”，完成日志流删除。 图3 删除日志流

自定义模板 在“选择模板”下，选择“自定义模板”，选择已有的结构化模板。模板来源有以下两种方式： 在配置正则分析、JSON、分隔符或Nginx方式时单击左下角的“另存为模板”，系统会弹出“另存模板”页面，输入模板名称，单击“确定”，完成自定义模板的保存，会在“自定义模板”下的模板列表看到该模板。 新增结构化模板，具体操作如下： 在“选择模板”下，选择“自定义模板”，单击“新增结构化模板”，在“新增结构化模板”界面选择正则分析、JSON、分隔符或Nginx方式，进行配置，配置完成后输入模板名称，单击“确定”。完成自定义模板的保存，会在“自定义模板”下的模板列表看到该模板。