analyser les données log

log parsing est le processus de traduction des données log non structurées en attributs (paires valeur-clé) en fonction des règles que vous définissez. Vous pouvez utiliser ces attributs dans votre requête NRQL pour facetter ou filtrer le log de manière utile.

New Relic analyse automatiquement les données log en fonction de certaines règles d'analyse. Dans ce document, vous apprendrez comment fonctionne l'analyse des logs et comment créer vos propres règles d'analyse personnalisées.

Vous pouvez également créer, interroger et gérer vos règles d'analyse des logen utilisant NerdGraph, notre API GraphQL . Un outil utile pour cela est notre explorateur d'API Nerdgraph. Pour plus d'informations, consultez notre tutoriel NerdGraph pour l'analyse.

Voici une vidéo de 5 minutes sur l'analyse des log :

Exemple d'analyse

Un bon exemple est un log d’accès NGINX par défaut contenant du texte non structuré. C'est utile pour la recherche mais pas pour grand chose d'autre. Voici un exemple d'une ligne typique :

127.180.71.3 - - [10/May/1997:08:05:32 +0000] "GET /downloads/product_1 HTTP/1.1" 304 0 "-" "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"

Dans un format non analysé, vous devrez effectuer une recherche en texte intégral pour répondre à la plupart des questions. Après analyse, le log est organisé en attributs, comme response code et request URL:

{
  "remote_addr": "93.180.71.3",
  "time": "1586514731",
  "method": "GET",
  "path": "/downloads/product_1",
  "version": "HTTP/1.1",
  "response": "304",
  "bytesSent": 0,
  "user_agent": "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"
}

analyse facilite la création de requêtes personnalisées qui s'appuient sur ces valeurs. Cela vous aide à comprendre la distribution des codes de réponse par URL de demande et à trouver rapidement les pages problématiques.

Comment fonctionne l'analyse des log

Voici un aperçu de la manière dont New Relic implémente l'analyse des logs :

analyser des logs	Comment ça marche
Quoi	L'analyse est appliquée à un champ sélectionné spécifique. Par défaut, le champ `message` est utilisé. Cependant, n'importe quel champ/attribut peut être choisi, même celui qui n'existe pas actuellement dans vos données. Chaque règle d'analyse est créée à l'aide d'une clause NRQL `WHERE` qui détermine quel log la règle tentera d'analyser. Pour simplifier le processus de correspondance, nous vous recommandons d'ajouter un attribut `logtype` à votre log. Cependant, vous n'êtes pas limité à l'utilisation de `logtype`; un ou plusieurs attributs peuvent être utilisés comme critères de correspondance dans la clause NRQL `WHERE`.
Quand	analyser ne sera appliqué qu'une seule fois à chaque message de log. Si plusieurs règles d'analyse correspondent au log, seule la première qui réussit sera appliquée. Les règles d’analyse ne sont pas ordonnées. Si plusieurs règles d'analyse correspondent à un log, une est choisie au hasard. Assurez-vous de créer vos règles d’analyse de manière à ce qu’elles ne correspondent pas au même log. L'analyse a lieu lors de l'ingestion log , avant que les données ne soient écrites dans NRDB. Une fois les données écrites sur le stockage, elles ne peuvent plus être analysées. L'analyse se produit dans le pipeline before des enrichissements de données ont lieu. Soyez prudent lorsque vous définissez les critères de correspondance pour une règle d’analyse. Si les critères sont basés sur un attribut qui n'existe pas avant l'analyse ou l'enrichissement, ces données ne seront pas présentes dans le log lors de la correspondance. Par conséquent, aucune analyse n’aura lieu.
Comment	Les règles peuvent être écrites en Grok, regex ou un mélange des deux. Grok est une collection de modèles qui font abstraction des expressions régulières complexes. Nous prenons en charge la syntaxe Java Regex dans notre interface utilisateur d'analyse. Pour les noms d'attributs ou de champs dans les groupes de capture, Java Regex autorise uniquement [A-Za-z0-9].

Analyser l'attribut à l'aide de Grok

Les modèles d'analyse sont spécifiés à l'aide de Grok, une norme industrielle pour l'analyse des messages de log. Tout log entrant avec un champ logtype sera vérifié par rapport à nos règles d'analyse intégrées et, si possible, le modèle Grok associé est appliqué au log.

Grok est un sur-ensemble d'expressions régulières qui ajoute des modèles nommés intégrés à utiliser à la place des expressions régulières complexes littérales. Par instance, au lieu de devoir se rappeler qu'un entier peut être associé aux expressions régulières (?:[+-]?(?:[0-9]+)), vous pouvez simplement écrire %{INT} pour utiliser le modèle Grok INT, qui représente les mêmes expressions régulières.

Les modèles Grok ont la syntaxe :

%{PATTERN_NAME[:OPTIONAL_EXTRACTED_ATTRIBUTE_NAME[:OPTIONAL_TYPE[:OPTIONAL_PARAMETER]]]}

Où:

PATTERN_NAME est l'un des modèles Grok pris en charge. Le nom du motif est juste un nom convivial représentant des expressions régulières. Elles sont exactement égales aux expressions régulières correspondantes.
OPTIONAL_EXTRACTED_ATTRIBUTE_NAME, s'il est fourni, est le nom de l'attribut qui sera ajouté à votre message de log avec la valeur correspondant au nom du modèle. Cela équivaut à utiliser un groupe de capture nommé à l’aide d’expressions régulières. Si cela n'est pas fourni, la règle d'analyse correspondra simplement à une région de votre chaîne, mais n'extrairea pas un attribut avec sa valeur.
OPTIONAL_TYPE spécifie le type de valeur d'attribut à extraire. Si elles sont omises, les valeurs sont extraites sous forme de chaînes. Par instance, pour extraire la valeur 123 de "File Size: 123" sous forme de nombre dans l'attribut file_size, utilisez value: %{INT:file_size:int}.
OPTIONAL_PARAMETER spécifie un paramètre facultatif pour certains types. Actuellement, seul le type datetime prend un paramètre, voir ci-dessous pour plus de détails.

Vous pouvez également utiliser un mélange d'expressions régulières et de noms de modèles Grok dans votre chaîne correspondante.

Cliquez sur ce lien pour une liste des modèles Grok pris en charge et ici pour une liste des types Grok pris en charge.

Notez que les noms de variables doivent être explicitement définis et être en minuscules comme %{URI:uri}. Des expressions telles que %{URI} ou %{URI:URI} ne fonctionneraient pas.

Un enregistrement log pourrait ressembler à ceci :

{
  "message": "54.3.120.2 2048 0"
}

Cette information est exacte, mais sa signification n’est pas vraiment intuitive. Les modèles Grok vous aident à extraire et comprendre les données télémétriques que vous souhaitez. Par exemple, un enregistrement log comme celui-ci est beaucoup plus facile à utiliser :

{
  "host_ip": "43.3.120.2",
  "bytes_received": 2048,
  "bytes_sent": 0
}

Pour ce faire, créez un modèle Grok qui extrait ces trois champs ; par exemple :

%{IP:host_ip} %{INT:bytes_received} %{INT:bytes_sent}

Après le traitement, votre enregistrement log comprendra les champs host_ip, bytes_received et bytes_sent. Vous pouvez désormais utiliser ces champs dans New Relic pour filtrer, facetter et effectuer des opérations statistiques sur vos données log . Pour plus de détails sur la façon d'analyser les logs avec les modèles Grok dans New Relic, consultez notre article de blog.

Si vous disposez des autorisations appropriées, vous pouvez créer des règles d'analyse dans notre interface utilisateur pour créer, tester et activer l'analyse Grok. Par exemple, pour obtenir un type spécifique de message d’erreur pour l’un de vos microservices appelé Inventory Services, vous devez créer une règle d’analyse Grok qui recherche un message d’erreur et un produit spécifiques. Pour ce faire :

Donnez un nom à la règle ; par exemple, Inventory Services error parsing.
Sélectionnez un champ existant à analyser (par défaut = message) ou entrez un nouveau nom de champ.
Identifiez la clause NRQL WHERE qui agit comme un pré-filtre pour le log entrant ; par exemple, entity.name='Inventory Service'. Ce pré-filtre réduit le nombre de logs qui doivent être traités par votre règle, supprimant ainsi les traitements inutiles.
Sélectionnez un log correspondant s'il existe, ou cliquez sur l'onglet Coller log pour coller un exemple log.

Ajoutez la règle d’analyse Grok ; par exemple :

Inventory error: %{DATA:error_message} for product %{INT:product_id}

Où:

Inventory error: Le nom de votre règle d'analyse
error_message:Le message d'erreur que vous souhaitez sélectionner
product_id: L'ID du produit pour le service d'inventaire

Activez et enregistrez la règle d’analyse.
Bientôt, vous verrez que votre log de service d'inventaire est enrichi de deux nouveaux champs : error_message et product_id. À partir de là, vous pouvez effectuer des requêtes sur ces champs, créer des graphiques et des tableaux de bord, définir des alertes, etc.
Pour plus de détails, consultez notre documentation sur l'ajout de règles d'analyse personnalisées dans l'interface utilisateur.

Le champ OPTIONAL_TYPE spécifie le type de valeur d'attribut à extraire. Si elles sont omises, les valeurs sont extraites sous forme de chaînes.

Les types pris en charge sont :

Type spécifié dans Grok	Type stocké dans la base de données New Relic
`boolean`	`boolean`
`byte` `short` `int` `integer`	`integer`
`long`	`long`
`float`	`float`
`double`	`double`
`string` (défaut) `text`	`string`
`date` `datetime`	Le temps comme un `long` Par défaut, il est interprété comme ISO 8601. Si `OPTIONAL_PARAMETER` est présent, il spécifie la chaîne de modèle de date et d'heureà utiliser pour interpréter `datetime`. Notez que ceci n'est disponible que pendant l'analyse. Nous avons une étape d’interprétation d’horodatage supplémentaire et distincte qui se produit pour tous les logs plus tard dans le pipeline d’ingestion.
`json`	Données structurées JSON. Voir analyser JSON mélangé à du texte brut pour plus d'informations.
`csv`	Données CSV. Voir Analyser CSV pour plus d'informations.
`geo`	Localisation géographique à partir des adresses IP. Consultez Géolocalisation des adresses IP (GeoIP) pour plus d'informations.
`key value pairs`	valeur clé Paire . Voir analyser les paires de valeurs clés pour plus d'informations.

Le pipeline New Relic Logs analyse vos messages log JSON par défaut, mais vous avez parfois des messages de log JSON mélangés à du texte brut. Dans cette situation, vous souhaiterez peut-être pouvoir les analyser, puis pouvoir filtrer à l’aide de l’attribut JSON. Si tel est le cas, vous pouvez utiliser le type grok json , qui analysera le JSON capturé par le modèle grok. Ce format repose sur 3 parties principales : la syntaxe grok, le préfixe que vous souhaitez attribuer à l'attribut json analysé et le type grok json . En utilisant le type grok json , vous pouvez extraire et analyser du JSON à partir de logs qui ne sont pas correctement formatés ; par exemple, si vos logs sont préfixés par une chaîne de date/heure :

2015-05-13T23:39:43.945958Z {"event": "TestRequest", "status": 200, "response": {"headers": {"X-Custom": "foo"}}, "request": {"headers": {"X-Custom": "bar"}}}

Afin d'extraire et d'analyser les données JSON de ce format log , créez l'expression Grok suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json}

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.status: 200
my_attribute_prefix.response.headers.X-Custom: "foo"
my_attribute_prefix.request.headers.X-Custom: "bar"

Vous pouvez définir la liste des attributs à extraire ou à supprimer avec les options keepAttributes ou dropAttributes. Par exemple, avec l'expression Grok suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"keepAttributes": ["my_attribute_prefix.event", "my_attribute_prefix.response.headers.X-Custom"]})}

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.request.headers.X-Custom: "bar"

Si vous souhaitez omettre le préfixe my_attribute_prefix , vous pouvez inclure le "noPrefix": true dans la configuration.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"noPrefix": true})}

Si vous souhaitez omettre le préfixe my_attribute_prefix et conserver uniquement l'attribut status , vous pouvez inclure "noPrefix": true et "keepAttributes: ["status"] dans la configuration.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"noPrefix": true, "keepAttributes": ["status"]})}

Si votre JSON a été échappé, vous pouvez utiliser l'option isEscaped pour pouvoir l'analyser. Si votre JSON a été échappé puis cité, vous devez également faire correspondre les guillemets, comme indiqué ci-dessous. Par exemple, avec l'expression Grok suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} "%{GREEDYDATA:my_attribute_prefix:json({"isEscaped": true})}"

Serait capable d'analyser le message échappé :

2015-05-13T23:39:43.945958Z "{\"event\": \"TestRequest\", \"status\": 200, \"response\": {\"headers\": {\"X-Custom\": \"foo\"}}, \"request\": {\"headers\": {\"X-Custom\": \"bar\"}}}"

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.status: 200
my_attribute_prefix.response.headers.X-Custom: "foo"
my_attribute_prefix.request.headers.X-Custom: "bar"

Pour configurer le type Grok json , utilisez :json(_CONFIG_):

json({"dropOriginal": true}): Supprimez le snippet JSON qui a été utilisé dans l'analyse. Lorsqu'elle est définie sur true (valeur par défaut), la règle d'analyse supprimera le snippet JSON d'origine. Notez que l’attribut JSON restera dans le champ de message.
json({"dropOriginal": false}):Cela affichera la charge utile JSON qui a été extraite. Lorsqu'il est défini sur false, la charge utile complète uniquement JSON sera affichée sous un attribut nommé dans my_attribute_prefix ci-dessus. Notez que l'attribut JSON restera également dans le champ de message ici, donnant à l'utilisateur 3 vues différentes des données JSON. Si le stockage des trois versions est un problème, il est recommandé d'utiliser la valeur par défaut de true ici.
json({"depth": 62}): Niveaux de profondeur auxquels vous souhaitez analyser la valeur JSON (par défaut 62).
json({"keepAttributes": ["attr1", "attr2", ..., "attrN"]}):Spécifie quel attribut sera extrait du JSON. La liste fournie ne peut pas être vide. Si cette option configuration n'est pas définie, tous les attributs sont extraits.
json({"dropAttributes": ["attr1", "attr2", ..., "attrN"]}):Spécifie l'attribut à supprimer du JSON. Si cette option de configuration n'est pas définie, aucun attribut n'est supprimé.
json({"noPrefix": true}): Définissez cette option sur true pour supprimer le préfixe de l'attribut extrait du JSON.
json({"isEscaped": true}): Définissez cette option sur true pour analyser le JSON qui a été échappé (ce que vous voyez généralement lorsque le JSON est transformé en chaîne, par exemple {\"key\": \"value\"})

Si votre système envoie un log de valeurs séparées par des virgules (CSV) et que vous devez les analyser dans New Relic, vous pouvez utiliser le type Grok csv , qui analyse le CSV capturé par le modèle Grok. Ce format repose sur 3 parties principales : la syntaxe Grok, le préfixe que vous souhaitez attribuer à l'attribut CSV analysé et le type Grok csv . En utilisant le type Grok csv , vous pouvez extraire et analyser le CSV du log.

Étant donné la ligne log CSV suivante à titre d’exemple :

"2015-05-13T23:39:43.945958Z,202,POST,/shopcart/checkout,142,10"

Et une règle d'analyse avec la forme suivante :

%{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"]})}

Analysera votre log comme suit :

log.timestamp: "2015-05-13T23:39:43.945958Z"
log.status: "202"
log.method: "POST"
log.url: "/shopcart/checkout"
log.time: "142"
log.bytes: "10"

Si vous devez omettre le préfixe « log », vous pouvez inclure le "noPrefix": true dans la configuration.

%{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"], "noPrefix": true})}

configuration des colonnes :

Il est obligatoire d'indiquer les colonnes dans la configuration de type CSV Grok (qui doit être un JSON valide).
Vous pouvez ignorer n'importe quelle colonne en définissant « _ » (trait de soulignement) comme nom de colonne pour la supprimer de l'objet résultant.

Options de configuration facultatives :

Bien que la configuration des « colonnes » soit obligatoire, il est possible de modifier l'analyse du CSV avec les paramètres suivants.

dropOriginal: (La valeur par défaut est true) Supprimez le snippet CSV utilisé dans l'analyse. Lorsque la valeur est true (valeur par défaut), la règle d'analyse supprime le champ d'origine.
noPrefix: (La valeur par défaut est false) N'inclut pas le nom du champ Grok comme préfixe sur l'objet résultant.
separator: (Par défaut ,) Définit le caractère/la chaîne qui divise chaque colonne.
- Un autre scénario courant est celui des valeurs séparées par des tabulations (TSV), pour cela vous devez indiquer \t comme séparateur, ex. %{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"], "separator": "\t"})
quoteChar: (Par défaut ") Définit le caractère qui entoure éventuellement le contenu d'une colonne.

Si votre système envoie un log contenant des adresses IPv4, New Relic peut les localiser géographiquement et enrichir l'événement de log avec l'attribut spécifié. Vous pouvez utiliser le type Grok geo , qui trouve la position d'une adresse IP capturée par le modèle Grok. Ce format peut être configuré pour renvoyer un ou plusieurs champs liés à l'adresse, tels que la ville, le pays et la latitude/longitude de l'IP.

Étant donné la ligne log suivante à titre d'exemple :

2015-05-13T23:39:43.945958Z 146.190.212.184

Et une règle d'analyse avec la forme suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:ip:geo({"lookup":["city","region","countryCode", "latitude","longitude"]})}

Nous allons analyser votre log comme suit :

ip: 146.190.212.184
ip.city: North Bergen
ip.countryCode: US
ip.countryName: United States
ip.latitude: 40.793
ip.longitude: -74.0247
ip.postalCode: 07047
ip.region: NJ
ip.regionName: New Jersey
containerTimestamp:2015-05-13T23:39:43.945958Z
ISO8601_TIMEZONE:Z

configuration de la recherche :

Il est obligatoire de spécifier les champs lookup souhaités renvoyés par l'action geo . Au moins un élément est requis parmi les options suivantes.

city: Nom de la ville
countryCode: Abréviation du pays
countryName: Nom du pays
latitude: Latitude
longitude: Longitude
postalCode: Code postal, code zip ou similaire
region:Abréviation d'État, de province ou de territoire
regionName: Nom de l'État, de la province ou du territoire

Le pipeline New Relic Logs analyse votre message de log par défaut, mais parfois vous avez des messages de log formatés sous forme de paires valeur/clé. Dans cette situation, vous souhaiterez peut-être pouvoir les analyser, puis pouvoir filtrer à l'aide de l'attribut valeur clé.

Si tel est le cas, vous pouvez utiliser le type grok keyvalue , qui analysera les paires valeur-clé capturées par le modèle grok. Ce format repose sur 3 parties principales : la syntaxe grok, le préfixe que vous souhaitez attribuer à l'attribut valeur clé analysé et le type grok keyvalue . En utilisant le type grok keyvalue , vous pouvez extraire et analyser les paires valeur/clé du log qui ne sont pas correctement formatées ; par exemple, si votre log est préfixé par une chaîne date/heure :

2015-05-13T23:39:43.945958Z key1=value1,key2=value2,key3=value3

Afin d'extraire et d'analyser les données de valeur clé de ce format log , créez l'expression Grok suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyvalue()}

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
  my_attribute_prefix.key1: "value1"
  my_attribute_prefix.key2: "value2"
  my_attribute_prefix.key3: "value3"

Vous pouvez également définir le délimiteur et le séparateur personnalisés pour extraire les paires valeur-clé requises.

2015-05-13T23:39:43.945958Z event:TestRequest request:bar

Par exemple, avec l'expression Grok suivante :

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyvalue({"delimiter": " ", "keyValueSeparator": ":"})}

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.request: "bar"

Si vous souhaitez omettre le préfixe my_attribute_prefix , vous pouvez inclure le "noPrefix": true dans la configuration.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyValue({"noPrefix": true})}

Le log résultant est :

containerTimestamp: "2015-05-13T23:39:43.945958Z"
event: "TestRequest"
request: "bar"

Si vous souhaitez définir votre préfixe de caractère de citation personnalisé, vous pouvez inclure « quoteChar » : dans la configuration.

2015-05-13T23:39:43.945958Z nbn_demo='INFO',message='This message contains information with spaces ,sessionId='abc123'

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyValue({"quoteChar": "'"})}

Le log résultant est :

"my_attribute_prefix.message": "'This message contains information with spaces",
"my_attribute_prefix.nbn_demo": "INFO",
"my_attribute_prefix.sessionId": "abc123"

Paramètres du modèle Grok

Vous pouvez personnaliser le comportement de l'analyse avec les options suivantes en fonction de vos formats log :

délimiteur
- Description : Chaîne séparant chaque paire de valeur clé.
- Valeur par défaut : , (virgule)
- Remplacement : définissez le champ delimiter pour modifier ce comportement.
Séparateur de valeur clé
- Description : Chaîne utilisée pour attribuer des valeurs aux clés.
- Valeur par défaut : =
- Remplacement : définissez le champ keyValueSeparator pour l'utilisation d'un séparateur personnalisé.
citationChar
- Description : Caractère utilisé pour entourer des valeurs avec des espaces ou des caractères spéciaux.
- Valeur par défaut : " (guillemets doubles)
- Remplacement : définissez un caractère personnalisé à l’aide de quoteChar.
dropOriginal
- Description : Supprime le message d'origine du log après analyse. Utile pour réduire le stockage log .
- Valeur par défaut : true
- Remplacement : définissez dropOriginal sur false pour conserver le message d'origine du log.
pas de préfixe
- Description : Lorsque true, exclut le nom du champ Grok comme préfixe dans l'objet résultant.
- Valeur par défaut : false
- Remplacement : activer en définissant noPrefix sur true.
échapperChar
- Description : Définissez un caractère d'échappement personnalisé pour gérer les caractères log spéciaux.
- Valeur par défaut : « » (barre oblique inverse)
- Remplacer : Personnaliser avec escapeChar.
trimValeurs
- Description : permet de supprimer les valeurs contenant des espaces.
- Valeur par défaut : false
- Remplacement : définissez trimValues sur true pour activer le rognage.
touches de finition
- Description : Permet de rogner les clés contenant des espaces.
- Valeur par défaut : true
- Remplacement : définissez trimKeys sur true pour activer le rognage.

Organisation par type de log

Le pipeline d'ingestion de log de New Relic peut analyser les données en faisant correspondre un événement de log à une règle décrivant comment le log doit être analysé. Il existe deux façons d'analyser un événement de log :

Utiliser une règle intégrée.
Définir une règle personnalisée.

Les règles sont une combinaison de logique de correspondance et de logique d'analyse. La correspondance est effectuée en définissant une correspondance de requête sur un attribut du log. Les règles ne sont pas appliquées rétroactivement. Les logs collectés avant la création d'une règle ne sont pas analysés par cette règle.

La manière la plus simple d'organiser votre log et la manière dont il est analysé est d'inclure le champ logtype dans votre événement de log. Cela indique à New Relic quelle règle intégrée appliquer au log.

Important

Une fois qu'une règle d'analyse est active, les données analysées par la règle sont modifiées de manière permanente. Cela ne peut pas être annulé.

Limites

L'analyse est coûteuse en termes de calcul, ce qui introduit des risques. l'analyse est effectuée pour les règles personnalisées définies dans un compte et pour faire correspondre les modèles à un log. Un grand nombre de modèles ou de règles personnalisées mal définies consommeront une énorme quantité de mémoire et de ressources CPU tout en prenant beaucoup de temps à exécuter.

Afin d'éviter les problèmes, nous appliquons deux limites d'analyse : par message, par règle et par compte.

Limite	Description
Par message et par règle	La limite par message et par règle empêche que le temps consacré à l'analyse d'un seul message soit supérieur à 100 ms. Si cette limite est atteinte, le système cessera de tenter d'analyser le message de log avec cette règle. Le pipeline d'ingestion tentera d'exécuter tout autre élément applicable à ce message, et le message sera toujours transmis via le pipeline d'ingestion et stocké dans NRDB. Le message de log sera dans son format original, non analysé.
Par compte	La limite par compte existe pour empêcher les comptes d’utiliser plus que leur juste part de ressources. La limite prend en compte le temps total passé à traiter all message de log pour un compte par minute.

Limite

Description

Par message et par règle

La limite par message et par règle empêche que le temps consacré à l'analyse d'un seul message soit supérieur à 100 ms. Si cette limite est atteinte, le système cessera de tenter d'analyser le message de log avec cette règle.

Le pipeline d'ingestion tentera d'exécuter tout autre élément applicable à ce message, et le message sera toujours transmis via le pipeline d'ingestion et stocké dans NRDB. Le message de log sera dans son format original, non analysé.

Par compte

La limite par compte existe pour empêcher les comptes d’utiliser plus que leur juste part de ressources. La limite prend en compte le temps total passé à traiter all message de log pour un compte par minute.

Conseil

Pour vérifier facilement si vos limites de débit ont été atteintes, accédez à la page Limits de votre système dans l'interface utilisateur de New Relic.

Règles d'analyse intégrées

Les formats log courants ont des règles d'analyse bien établies déjà créées pour eux. Pour bénéficier des règles d’analyse intégrées, ajoutez l’attribut logtype lors du transfert du log. Définissez la valeur sur une valeur répertoriée dans le tableau suivant et les règles pour ce type de log seront appliquées automatiquement.

Liste des règles intégrées

Les valeurs d’attribut logtype suivantes correspondent à une règle d’analyse prédéfinie. Par exemple, pour interroger l'équilibreur de charge d'application :

Depuis l'interface utilisateur de New Relic, utilisez le format logtype:"alb".
Depuis NerdGraph, utilisez le format logtype = 'alb'.

Pour savoir quels champs sont analysés pour chaque règle, consultez notre documentation sur les règles d'analyse intégrées.

`logtype`	source du log	Exemple de requête correspondante
`apache`	Log d'accès Apache	`logtype:"apache"`
`apache_error`	Log des erreurs Apache	`logtype:"apache_error"`
`alb`	Log de l'équilibreur de charge d'application	`logtype:"alb"`
`cassandra`	Log de Cassandre	`logtype:"cassandra"`
`cloudfront-web`	CloudFront (log Web standard)	`logtype:"cloudfront-web"`
`cloudfront-rtl`	CloudFront (log web temps réel)	`logtype:"cloudfront-rtl"`
`elb`	Log d' Elastic Load Balancer	`logtype:"elb"`
`haproxy_http`	Log HAProxy	`logtype:"haproxy_http"`
`ktranslate-health`	Log de santé du conteneur KTranslate	`logtype:"ktranslate-health"`
`linux_cron`	Cron Linux	`logtype:"linux_cron"`
`linux_messages`	Messages Linux	`logtype:"linux_messages"`
`iis_w3c`	Log du serveur Microsoft IIS - format W3C	`logtype:"iis_w3c"`
`mongodb`	Logs de MongoDB	`logtype:"mongodb"`
`monit`	Monit logs	`logtype:"monit"`
`mysql-error`	Log des erreurs MySQL	`logtype:"mysql-error"`
`nginx`	Log d'accès NGINX	`logtype:"nginx"`
`nginx-error`	Log des erreurs NGINX	`logtype:"nginx-error"`
`postgresql`	Log Postgresql	`logtype:"postgresql"`
`rabbitmq`	Log de Rabbitmq	`logtype:"rabbitmq"`
`redis`	Log Redis	`logtype:"redis"`
`route-53`	Log de la Route 53	`logtype:"route-53"`
`syslog-rfc5424`	Logs système au format RFC5424	`logtype:"syslog-rfc5424"`

Ajoutez le `logtype`

Lors de l'agrégation des logs, il est important de fournir des métadonnées qui facilitent l'organisation, la recherche et l'analyse de ces logs. Une façon simple de procéder consiste à ajouter l'attribut logtype au message de log lors de leur expédition. Les règles d’analyse intégrées sont appliquées par défaut à certaines valeurs logtype .

Conseil

Les champs logType, logtype et LOGTYPE sont tous pris en charge pour les règles intégrées. Pour faciliter la recherche, nous vous recommandons de vous aligner sur une syntaxe unique dans votre organisation.

Voici quelques exemples de la façon d'ajouter logtype au log envoyé par certaines de nos méthodes d'expédition prises en charge.

Ajoutez logtype comme attribute. Vous devez définir le type de log pour chaque source nommée.

logs:
  - name: file-simple
    file: /path/to/file
    attributes:
      logtype: fileRaw
  - name: nginx-example
    file: /var/log/nginx.log
    attributes:
      logtype: nginx

Ajoutez un bloc de filtre au fichier .conf , qui utilise un record_transformer pour ajouter un nouveau champ. Dans cet exemple, nous utilisons un logtype sur nginx pour déclencher la règle d’analyse NGINX intégrée. Découvrez d’autres exemples de Fluentd.

<filter containers>
  @type record_transformer
  enable_ruby true
  <record>
    #Add logtype to trigger a built-in parsing rule for nginx access logs
    logtype nginx
    #Set timestamp from the value contained in the field "time"
    timestamp record["time"]
    #Add hostname and tag fields to all records
    hostname "#{Socket.gethostname}"
    tag ${tag}
  </record>
</filter>

Ajoutez un bloc de filtre au fichier .conf qui utilise un record_modifier pour ajouter un nouveau champ. Dans cet exemple, nous utilisons un logtype sur nginx pour déclencher la règle d’analyse NGINX intégrée. Découvrez d’autres exemples de Fluent Bit.

[FILTER]
    Name   record_modifier
    Match  *
    Record logtype nginx
    Record hostname ${HOSTNAME}
    Record service_name Sample-App-Name

Ajoutez un bloc de filtre à la configuration Logstash qui utilise un filtre de mutation add_field pour ajouter un nouveau champ. Dans cet exemple, nous utilisons un logtype sur nginx pour déclencher la règle d’analyse NGINX intégrée. Découvrez d'autres exemples de Logstash.

filter {
  mutate {
    add_field => {
      "logtype" => "nginx"
      "service_name" => "myservicename"
      "hostname" => "%{host}"
    }
  }
}

Vous pouvez ajouter un attribut à la requête JSON envoyée à New Relic. Dans cet exemple, nous ajoutons un attribut logtype de valeur nginx pour déclencher la règle d’analyse NGINX intégrée. En savoir plus sur l’utilisation de l’ API Logs.

POST /log/v1 HTTP/1.1
Host: log-api.newrelic.com
Content-Type: application/json
X-License-Key: YOUR_LICENSE_KEY
Accept: */*
Content-Length: 133
{
  "timestamp": TIMESTAMP_IN_UNIX_EPOCH,
  "message": "User 'xyz' logged in",
  "logtype": "nginx",
  "service": "login-service",
  "hostname": "login.example.com"
}

Créer et afficher des règles d'analyse personnalisées

De nombreux logs sont formatés ou structurés d’une manière unique. Afin de les analyser, une logique personnalisée doit être construite et appliquée.

Dans la navigation de gauche dans l'interface utilisateur du log, sélectionnez Parsing, puis créez votre propre règle d'analyse personnalisée avec une clause NRQL WHERE valide et un modèle Grok.

Pour créer et gérer vos propres règles d’analyse personnalisées :

Allez à one.newrelic.com > All capabilities > Logs.
À partir de Manage data dans la navigation de gauche de l’interface utilisateur du log, cliquez sur Parsing, puis sur Create parsing rule.
Saisissez un nom pour la nouvelle règle d’analyse.
Sélectionnez un champ existant à analyser (par défaut = message) ou entrez un nouveau nom de champ.
Saisissez une clause NRQL WHERE valide pour correspondre au log que vous souhaitez analyser.
Sélectionnez un log correspondant s'il existe, ou cliquez sur l'onglet Paste log pour coller un exemple log. Notez que si vous copiez du texte depuis l'interface utilisateur du log ou le générateur de requêtes pour le coller dans l'interface utilisateur d'analyse, assurez-vous qu'il s'agit de la version Unformatted .
Saisissez la règle d'analyse et validez son fonctionnement en affichant les résultats dans la section Output . Pour en savoir plus sur Grok et les règles d'analyse personnalisées, lisez notre article de blog sur la façon d'analyser les logs avec les modèles Grok.
Activez et enregistrez la règle d’analyse personnalisée.

Pour afficher les règles d’analyse existantes :

Allez à one.newrelic.com > All capabilities > Logs.
À partir de Manage data dans la barre de navigation de gauche de l’interface utilisateur du log, cliquez sur Parsing.

Dépannage

Si l'analyse ne fonctionne pas comme prévu, cela peut être dû à :

Logic: La logique de correspondance de la règle d'analyse ne correspond pas au log souhaité.
Timing: Si votre règle de correspondance d'analyse cible une valeur qui n'existe pas encore, elle échouera. Cela peut se produire si la valeur est ajoutée plus tard dans le pipeline dans le cadre du processus d’enrichissement.
Limits: Il y a une quantité de temps fixe disponible chaque minute pour traiter le log via l'analyse, les modèles, les filtres de suppression, etc. Si le temps maximum a été écoulé, l'analyse sera ignorée pour les enregistrements d'événements de log supplémentaires.

Pour résoudre ces problèmes, créez ou ajustez vos règles d'analyse personnalisées.

Cette traduction automatique est fournie pour votre commodité.

Exemple d'analyse

Comment fonctionne l'analyse des log

Analyser l'attribut à l'aide de Grok

Exemple de Grok : extraire des données utiles de votre log

Exemple d'interface utilisateur : création d'une règle d'analyse Grok

Types de Grok pris en charge

Analyse multiligne de Grok

analyser du JSON mélangé à du texte brut

analyser CSV

configuration des colonnes :

Options de configuration facultatives :

Géolocalisation des adresses IP (GeoIP)

configuration de la recherche :

analyser la valeur clé Pairs

Paramètres du modèle Grok

Organisation par type de log

Important

Limites

Conseil

Règles d'analyse intégrées

Liste des règles intégrées

Ajoutez le `logtype`

Conseil

Exemple d'agent d'infrastructure New Relic

Exemple de Fluentd

Exemple de Fluent Bit

Exemple de Logstash

Exemple d'API de Log

Créer et afficher des règles d'analyse personnalisées

Dépannage

Cette traduction automatique est fournie pour votre commodité.

analyser les données log

Exemple d'analyse .css-21sua1{background:none;border:none;width:0;padding:0;}

Comment fonctionne l'analyse des log

Analyser l'attribut à l'aide de Grok

Exemple d'interface utilisateur : création d'une règle d'analyse Grok

Types de Grok pris en charge

Analyse multiligne de Grok

analyser du JSON mélangé à du texte brut

analyser CSV

Géolocalisation des adresses IP (GeoIP)

analyser la valeur clé Pairs

Organisation par type de log

Important

Limites

Conseil

Règles d'analyse intégrées

Liste des règles intégrées

Ajoutez le logtype

Conseil

Exemple d'agent d'infrastructure New Relic

Exemple de Fluentd

Exemple de Fluent Bit

Exemple de Logstash

Exemple d'API de Log

Créer et afficher des règles d'analyse personnalisées

Dépannage

Exemple d'analyse

Ajoutez le `logtype`