跳到主要内容

功能介绍

日志系统是针对异构文本进行采集、归类、检视和主动防范的高频能力基座。我们将这套系统核心拆分成下述四大交互操作模块为您详解。

1. 日志采集与集成 (Integration)

集成系统是整个日志运转的上游引擎,我们把原本黑盒的代码运维化作一目了然的操作卡片。

  • 卡片式全能集成:采用如同商超般的卡片布局,囊括丰富的采类:内置 Vector 探板支持对 SyslogFileDockerExec 的直采;支持 Filebeat 链路测试;甚至涵盖 Packetbeat 对网络流量 (Flow/ICMP/DHCP) 采集。
  • 多行截断与合并重组:针对多行合并的噩梦(如 Java 大段异常),在前端原生提供多条件模式控制面板(如合并正则默认值、起始标志、四大截取逻辑模式选择与强制超时导出),高度兼容真实业务运转特征。
  • 树形接收清单跟踪:以树形层级的列表视图展列全部日志接收对象的实例与状态,并内置“快速查看日志”跳转按钮辅助检验。

摒弃传统慢速的捞字工具,我们重构了兼具直白和工程师极客偏好的探索界面。

  • 查询建议与一键带入:查询语句框始终伴随有直观输入提示。明细阅读列表模式下,支持将“时间戳”或独立存在的业务字段名/值,一键追加添加到查询语句内。
  • 双轨视觉呈现 (直方图与终端流):上方置顶「查询直方图」描绘日志触警的时间风波分布;列表查阅时除结构化展开展示信息外,更支持直接切换至终端模式(Terminal),并在该模式下享受动态自动刷新。
  • 条件锁存制与组权限绑定:如果花了很大精力写成了一条复杂语句或者查错逻辑,您可以把这个搜索条件(含时间过滤与分组)通过弹窗保存存档,这些已存条件会自动绑定至所在组织,实现团队共享并随开随用。

3. 分组规则与隔离 (Grouping)

让日志查得快且避免权限越界泄露的关键机制。

  • 规则派发归属:系统除了内置无法强行改动的【全日志数据 default 组】兜底外,允许新建分组条件。利用“任意/所有”逻辑,基于字段和“包含/等于”的值填写条件自动吸纳特定日志进入自建组。
  • 强制赋权可视:这些分组从底层隔离了访问,无论日志接收统计树,或者顶部查询界面中下拉检索,都是强行绑定“当前用户权限所属组织过滤”去展示数据。

4. 日志事件策略与分析仪 (Events & Analysis)

我们赋予日志脱离纯搜库转为防线的自动化功能。单单定位问题还不够?直接转化为看板与警报。

  • 关键字与聚合告警隔离:系统提供多形式的监控。既具备将单策略同类的纯文本报错汇总为 1 条 Alert 的「关键字告警」;又包含能根据特殊字段分类,单值一条 Alert 的「聚合告警」。通知同样打通企业微信及监控中心一致的通讯网域。
  • 抽屉式探案与详情联动:一旦被触发,事件明细界面内,您只需在表格内唤起抽屉页面,就能直达相应的引起触警的原始日志内容或附带时间戳展示页。
  • 自定义视图分析看板模块:我们复用高度灵活的图形组件模块(无需费力执行视图增改操作),用户仅通过分组和时间两个极简筛选器,外加拖拽「单值图、折线图、日志信板」即可建立自定义 Analysis 看板并计算函数。