Parsing log data

로그 parsing은 정의한 규칙에 따라 정형화되지 않은 로그 데이터를 속성(키:값 쌍)으로 변환하는 프로세스입니다. NRQL 쿼리에서 이 속성을 사용하면 편리하게 로그를 패싯하거나 필터링할 수 있습니다.

뉴렐릭은 특정 구문 분석 규칙에 따라 로그 데이터를 자동으로 구문 분석합니다. 이 문서에서는 로그 구문 분석이 작동하는 방식과 커스텀 구문 분석 규칙을 만드는 방법을 배웁니다.

GraphQL API인 NerdGraph를 사용하여 로그 구문 분석 규칙을 생성, 쿼리 및 관리할 수도 있습니다. 이를 위한 유용한 도구는 Nerdgraph API 탐색기입니다. 보다 자세한 내용은 구문 분석에 대한 NerdGraph 튜토리얼을 참조하십시오.

로그 구문 분석에 대한 5분 길이 동영상을 확인해 보십시오.

구문 분석 예시

좋은 예는 정형화되지 않은 텍스트를 포함하는 기본 NGINX 액세스 로그입니다. 검색할 때 유용하지만 그 외에는 그다지 유용하지 않습니다. 다음은 일반적인 라인의 예입니다.

127.180.71.3 - - [10/May/1997:08:05:32 +0000] "GET /downloads/product_1 HTTP/1.1" 304 0 "-" "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"

구문 분석되지 않은 포맷에서는 대부분의 질문에 답하기 위해 전체 텍스트 검색을 수행해야 합니다. 구문 분석 후, 로그는 response code 및 request URL 같은 속성으로 구성됩니다.

{
  "remote_addr": "93.180.71.3",
  "time": "1586514731",
  "method": "GET",
  "path": "/downloads/product_1",
  "version": "HTTP/1.1",
  "response": "304",
  "bytesSent": 0,
  "user_agent": "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"
}

구문 분석을 사용하면 해당 값을 패싯하는 커스텀 쿼리를 더 쉽게 만들 수 있습니다. 이를 통해 요청 URL당 응답 코드의 분포를 이해하고 문제가 있는 페이지를 빠르게 찾을 수 있습니다.

로그 구문 분석의 작동 방식

다음은 뉴렐릭이 로그 구문 분석을 구현하는 방법에 대한 간단한 설명입니다.

로그 구문 분석	작동 원리
대상	구문 분석은 선택된 특정 필드에 적용됩니다. 기본적으로 `message` 필드가 사용됩니다. 그러나 현재 데이터에 존재하지 않는 필드/속성까지 포함해, 모든 필드/속성을 선택할 수 있습니다. 각 구문 분석 규칙은 규칙이 구문 분석을 시도할 로그를 결정하는 NRQL `WHERE` 절을 사용하여 생성됩니다. 매칭 프로세스를 간소화하려면 로그에 `logtype` 속성을 추가하는 것이 좋습니다. 그러나 `logtype` 사용하는 것으로 제한되지 않습니다. NRQL `WHERE` 절에서 하나 이상의 속성을 매칭 기준으로 사용할 수 있습니다.
시기	구문 분석은 각 로그 메시지에 한 번만 적용됩니다. 여러 구문 분석 규칙이 로그와 매치하는 경우 성공한 첫 번째 규칙만 적용됩니다. 구문 분석 규칙은 순서가 없습니다. 둘 이상의 구문 분석 규칙이 로그와 매치되는 경우 무작위로 하나가 선택됩니다. 동일한 로그와 매치되지 않도록 구문 분석 규칙을 작성해야 합니다. 구문 분석은 데이터가 NRDB에 기록되기 전에 로그 수집 중에 실행됩니다. 데이터가 스토리지에 기록되면 더 이상 구문 분석을 할 수 없습니다. 데이터 보강이 이뤄지기 전에(before) 파이프라인에서 구문 분석이 실행됩니다. 구문 분석 규칙에 대한 매칭 기준을 정의할 때는 주의해야 합니다. 기준이 구문 분석 또는 보강이 수행될 때까지 존재하지 않는 속성을 기반으로 하는 경우 매칭이 발생할 때 해당 데이터가 로그에 표시되지 않습니다. 결과적으로, 구문 분석이 실행되지 않습니다.
방법	규칙은 Grok, 정규식 또는 이 둘을 혼합하여 작성할 수 있습니다. Grok은 복잡한 정규식을 추상화하는 패턴 모음입니다. 뉴렐릭의 Parsing UI는 Java Regex 구문을 지원합니다. 캡처 그룹의 속성 또는 필드 이름의 경우, Java Regex는 [A-Za-z0-9]만 허용합니다.

Grok을 사용한 속성 구문 분석

구문 분석 패턴은 로그 메시지 구문 분석을 위한 업계 표준인 Grok를 사용하여 지정됩니다.logtype 필드가 있는 수신 로그는 내장된 구문 분석 과 비교 확인되며 가능한 경우 연결된 Grok 패턴이 로그에 적용됩니다.

Grok은 복잡한 리터럴 정규식 대신 사용될 내장 및 명명된 패턴을 추가하는 정규식의 상위 집합입니다. 예를 들어 정수가 정규식 (?:[+-]?(?:[0-9]+))과 매칭될 수 있다는 것을 기억할 필요 없이 동일한 정규식을 나타내는 Grok 패턴 INT를 사용하도록 %{INT}을 작성할 수 있습니다.

Grok 패턴의 구문은 다음과 같습니다.

%{PATTERN_NAME[:OPTIONAL_EXTRACTED_ATTRIBUTE_NAME[:OPTIONAL_TYPE[:OPTIONAL_PARAMETER]]]}

Where:

PATTERN_NAME 지원 Grok 패턴 중 하나입니다. 패턴 이름은 정규식을 나타내는 사용자 친화적인 이름입니다. 해당 정규식과 정확히 동일합니다.
OPTIONAL_EXTRACTED_ATTRIBUTE_NAME이 제공된 경우, 패턴 이름과 매치되는 값으로 로그 메시지에 추가될 속성의 이름입니다. 정규식을 사용하여 명명된 캡처 그룹을 사용하는 것과 같습니다. 이것이 제공되지 않으면 구문 분석 규칙은 문자열의 영역과 매치되지만 해당 값으로 속성을 추출하지는 않습니다.
OPTIONAL_TYPE 은 추출할 속성 값의 유형을 지정합니다. 생략하면, 값이 문자열로 추출됩니다. 예를 들어, "File Size: 123"의 값 123을 숫자에서 file_size 속성으로 추출하려면 value: %{INT:file_size:int}을 사용합니다.
OPTIONAL_PARAMETER 특정 유형에 대해 선택적으로 파라미터를 지정합니다. 현재는 datetime 유형만 파라미터를 지정할 수 있습니다. 자세한 내용은 아래를 참조하십시오.

매치되는 문자열에서 정규식과 Grok 패턴 이름을 혼합하여 사용할 수도 있습니다.

지원되는 Grok 패턴 목록을 보려면 이 링크를 클릭하고, 지원되는 Grok 유형 목록을 보려면 여기를 클릭하십시오.

변수 이름은 명시적으로 설정해야 하며 %{URI:uri} 같이 소문자여야 한다는 데 유의하십시오. %{URI} 또는 %{URI:URI} 같은 표현식은 안됩니다.

로그 레코드는 다음과 같은 형식을 띌 수 있습니다.

{
  "message": "54.3.120.2 2048 0"
}

이 정보는 정확하지만 그 의미가 직관적이지 않습니다. Grok 패턴은 원하는 텔레메트리 데이터를 추출하고 이해하는 데 도움이 됩니다. 예를 들어 다음과 같은 로그 레코드는 사용하기가 훨씬 쉽습니다.

{
  "host_ip": "43.3.120.2",
  "bytes_received": 2048,
  "bytes_sent": 0
}

이를 위해서는 이 세 필드를 추출하는 Grok 패턴을 만들어야 합니다. 예를 들어:

%{IP:host_ip} %{INT:bytes_received} %{INT:bytes_sent}

프로세싱 후, 로그 레코드에는 host_ip, bytes_received 및 bytes_sent 필드가 포함됩니다. 이제 뉴렐릭에서 이러한 필드를 사용하여 로그 데이터에 대한 통계 연산을 필터링, 패싯 및 수행할 수 있습니다. 뉴렐릭에서 Grok 패턴으로 로그를 구문 분석하는 방법에 대한 보다 자세한 내용은 블로그 게시물을 참조하십시오.

올바른 권한이 있는 경우 UI에서 구문 분석 규칙을 만들어 Grok 구문 분석을 생성, 테스트 및 활성화할 수 있습니다. 예를 들어 Inventory Services라는 마이크로 서비스에 대한 특정 유형의 오류 메시지를 가져오려면, 특정 오류 메시지와 제품을 찾는 Grok 구문 분석 규칙을 만듭니다. 이를 위해서는:

규칙에 이름을 지정합니다. 예: Inventory Services error parsing
구문 분석할 기존 필드를 선택(기본값 = message)하거나 새 필드 이름을 입력합니다.
들어오는 로그에 대한 사전 필터 역할을 하는 NRQL WHERE절을 식별합니다. 예: entity.name='Inventory Service'. 이 사전 필터는 규칙에서 처리해야 하는 로그 수를 줄여 불필요한 프로세싱을 제거합니다.
매치되는 로그가 있으면 선택하거나 Paste log 탭을 클릭하여 샘플 로그에 붙여넣습니다.

Grok 구문 분석 규칙을 추가합니다. 예:

Inventory error: %{DATA:error_message} for product %{INT:product_id}

Where:

Inventory error: 파싱 규칙의 이름
error_message: 선택하려는 오류 메시지
product_id: Inventory Service의 제품 ID

구문 분석 규칙을 활성화하고 저장합니다.
곧 Inventory Service 로그가 2개의 새로운 필드 error_message와 product_id로 강화된 것을 볼 수 있습니다. 여기에서 이러한 필드에 대해 쿼리하고, 차트 및 대시보드를 만들고, 알림을 설정하는 등의 작업을 수행할 수 있습니다.
보다 자세한 내용은 UI에 커스텀 구문 분석 규칙을 추가하는 방법을 참조하십시오.

OPTIONAL_TYPE 필드는 추출할 속성 값의 유형을 지정합니다. 생략하면, 값이 문자열로 추출됩니다.

지원되는 유형:

Grok에 지정된 유형	뉴렐릭 데이터베이스에 저장된 유형
`boolean`	`boolean`
`byte` `short` `int` `integer`	`integer`
`long`	`long`
`float`	`float`
`double`	`double`
`string` (기본) `text`	`string`
`date` `datetime`	시간 `long` 기본적으로 ISO 8601로 해석됩니다. `OPTIONAL_PARAMETER`가 있는 경우 `datetime`을 해석하는 데 사용할 날짜 및 시간 패턴 문자열을 지정합니다. 이는 구문 분석 중에만 사용할 수 있습니다. 인제스트 파이프라인의 후반부에는 모든 로그에 대해 발생하는 추가 타임스탬프 해석 단계가 별도로 존재합니다.
`json`	JSON 정형 데이터보다 자세한 내용은 일반 텍스트와 혼합된 JSON 구문 분석을 참조하십시오.
`csv`	CSV 데이터. 자세한 내용은 CSV 구문 분석을 참조하세요.
`geo`	IP 주소의 지리적 위치. 보다 자세한 내용은 IP 주소의 위치 파악(GeoIP)을 참조하십시오.
`key value pairs`	키 값 쌍입니다. 자세한 내용은 키/값 쌍 구문 분석을 참조하십시오.

뉴렐릭 로그 파이프라인은 기본적으로 로그 JSON 메시지를 구문 분석하지만, 때로 일반 텍스트와 혼합된 JSON 로그 메시지가 있는 경우가 있습니다. 이런 상황에서, 메시지를 구문 분석한 다음 JSON 속성을 사용하여 필터링하길 원할 수 있습니다. 이 경우 json grok 유형을 사용할 수 있습니다. 이 유형은 grok 패턴에서 캡처한 JSON을 구문 분석합니다. 이 포맷은 3가지 주요 부분, 즉 grok 구문, 구문 분석된 json 속성에 할당하려는 접두사 및 json grok 유형에 의존합니다. json grok 유형을 사용하면 포맷이 올바르지 않은 로그에서 JSON을 추출하고 구문 분석할 수 있습니다. 예를 들어, 로그에 날짜/시간 문자열이 접두사로 붙는 경우:

2015-05-13T23:39:43.945958Z {"event": "TestRequest", "status": 200, "response": {"headers": {"X-Custom": "foo"}}, "request": {"headers": {"X-Custom": "bar"}}}

이 로그 형식에서 JSON 데이터를 추출하고 구문 분석하려면 다음 Grok 표현식을 작성합니다.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json}

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.status: 200
my_attribute_prefix.response.headers.X-Custom: "foo"
my_attribute_prefix.request.headers.X-Custom: "bar"

keepAttributes 또는 dropAttributes 옵션을 사용하여 추출하거나 드롭할 속성 목록을 정의할 수 있습니다. 예를 들어, 다음 Grok 표현식을 사용하면:

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"keepAttributes": ["my_attribute_prefix.event", "my_attribute_prefix.response.headers.X-Custom"]})}

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.request.headers.X-Custom: "bar"

my_attribute_prefix 접두사를 생략하려면 설정에 "noPrefix": true를 포함할 수 있습니다.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"noPrefix": true})}

my_attribute_prefix 접두사를 생략하고 status 속성만 유지하려는 경우 설정에 "noPrefix": true 및 "keepAttributes: ["status"]를 포함할 수 있습니다.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:json({"noPrefix": true, "keepAttributes": ["status"]})}

JSON이 이스케이프된 경우 isEscaped 옵션을 사용하여 구문 분석을 할 수 있습니다. JSON이 이스케이프되고 인용이 된 경우 아래와 같이 인용 부호도 일치시켜야 합니다. 예를 들어, 다음 Grok 표현식을 사용하면:

%{TIMESTAMP_ISO8601:containerTimestamp} "%{GREEDYDATA:my_attribute_prefix:json({"isEscaped": true})}"

이스케이프된 메시지를 구문 분석할 수 있습니다.

2015-05-13T23:39:43.945958Z "{\"event\": \"TestRequest\", \"status\": 200, \"response\": {\"headers\": {\"X-Custom\": \"foo\"}}, \"request\": {\"headers\": {\"X-Custom\": \"bar\"}}}"

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.status: 200
my_attribute_prefix.response.headers.X-Custom: "foo"
my_attribute_prefix.request.headers.X-Custom: "bar"

json Grok 유형을 구성하려면 :json(_CONFIG_)를 사용합니다.

json({"dropOriginal": true}): 구문 분석에 사용된 JSON 스니펫을 삭제합니다. true(기본값)로 설정하면 구문 분석 규칙이 원본 JSON 스니펫을 삭제합니다. JSON 속성은 메시지 필드에 유지됩니다.
json({"dropOriginal": false}): 추출된 JSON 페이로드를 보여줍니다. false로 설정하면 전체 JSON 전용 페이로드가 위의 my_attribute_prefix에 이름이 지정된 속성 아래에 표시됩니다. JSON 속성은 여기 메시지 필드에 남아 있을 뿐만 아니라 사용자에게 JSON 데이터에 대한 3가지 다른 뷰를 제공합니다. 세 가지 버전 모두 저장하는 것이 우려되는 경우 여기에서 기본값인 true를 사용하는 것이 좋습니다.
json({"depth": 62}): JSON 값을 구문 분석하려는 깊이 수준(기본값은 62)입니다.
json({"keepAttributes": ["attr1", "attr2", ..., "attrN"]}): JSON에서 추출할 속성을 지정합니다. 제공된 목록은 공백으로 둘 수 없습니다. 이 구성 옵션을 설정하지 않으면 모든 속성이 추출됩니다.
json({"dropAttributes": ["attr1", "attr2", ..., "attrN"]}): JSON에서 드롭할 속성을 지정합니다. 이 구성 옵션이 설정되지 않으면 속성이 드롭되지 않습니다.
json({"noPrefix": true}): JSON에서 추출된 속성에서 접두사를 제거하려면 이 옵션을 true로 설정합니다.
json({"isEscaped": true}): 이스케이프된 JSON을 구문 분석하려면 이 옵션을 true로 설정합니다. (일반적으로 JSON이 문자열화될 때 볼 수 있습니다. 예: {\"key\": \"value\"})

시스템이 쉼표로 구분된 값(CSV) 로그를 보내고 이를 뉴렐릭에서 구문 분석해야 하는 경우 Grok 패턴으로 캡처한 CSV를 구문 분석하는 csv Grok 유형을 사용할 수 있습니다. 이 형식은 Grok 구문, 구문 분석된 CSV 속성에 할당하려는 접두사 및 csv Grok 유형의 세 가지 주요 부분에 의존합니다. csv Grok 유형을 사용하여 로그에서 CSV를 추출하고 구문 분석할 수 있습니다.

예를 들어 다음 CSV 로그 줄과

"2015-05-13T23:39:43.945958Z,202,POST,/shopcart/checkout,142,10"

다음 형태의 구문 분석 규칙의 경우:

%{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"]})}

다음과 같이 로그를 구문 분석합니다.

log.timestamp: "2015-05-13T23:39:43.945958Z"
log.status: "202"
log.method: "POST"
log.url: "/shopcart/checkout"
log.time: "142"
log.bytes: "10"

"log" 접두사를 생략해야 하는 경우 구성에 "noPrefix": true를 포함할 수 있습니다.

%{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"], "noPrefix": true})}

열 구성:

CSV Grok 유형 구성(유효한 JSON이어야 함)에서 필수적으로 열을 지시해야 합니다.
열 이름으로 "_"(밑줄)을 설정하여 결과 객체에서 열을 삭제하면 모든 열을 무시할 수 있습니다.

선택적 구성 옵션:

"열" 구성은 필수이지만 다음 설정을 사용하여 CSV 구문 분석을 변경할 수 있습니다.

dropOriginal: (기본값은 true) 구문 분석에 사용된 CSV 스니펫을 삭제합니다. true (기본값)으로 설정하면 구문 분석 규칙이 원래 필드를 삭제합니다.
noPrefix: (기본값은 false) Grok 필드 이름을 결과 객체의 접두사로 포함하지 않습니다.
separator: (기본값은 ,) 각 열을 분할하는 문자/문자열을 정의합니다.
- 또 다른 일반적인 시나리오는 \t를 구분 기호로 지정해야 하는 TSV(탭으로 구분된 값)입니다. %{GREEDYDATA:log:csv({"columns": ["timestamp", "status", "method", "url", "time", "bytes"], "separator": "\t"})
quoteChar: (기본값은 ") 열 내용을 선택적으로 둘러싸는 문자를 정의합니다.

시스템이 IPv4 주소가 포함된 로그를 보내는 경우 뉴렐릭은 지리적으로 주소를 찾고 지정된 속성으로 로그 이벤트를 보강할 수 있습니다. Grok 패턴이 캡처한 IP 주소의 위치를 찾는 geo Grok type을 사용할 수 있습니다. 이 포맷은 IP의 도시, 국가, 위도/경도 등 주소와 관련된 하나 이상의 필드를 반환하도록 구성할 수 있습니다.

예를 들어 다음 로그 줄이 주어집니다.

2015-05-13T23:39:43.945958Z 146.190.212.184

다음 형태의 구문 분석 규칙의 경우:

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:ip:geo({"lookup":["city","region","countryCode", "latitude","longitude"]})}

다음과 같이 로그를 구문 분석합니다.

ip: 146.190.212.184
ip.city: North Bergen
ip.countryCode: US
ip.countryName: United States
ip.latitude: 40.793
ip.longitude: -74.0247
ip.postalCode: 07047
ip.region: NJ
ip.regionName: New Jersey
containerTimestamp:2015-05-13T23:39:43.945958Z
ISO8601_TIMEZONE:Z

룩업 구성:

반드시 geo 작업에서 반환된 원하는 lookup 필드를 지정해야 합니다. 다음 옵션 중 적어도 1개 항목이 필요합니다.

city: 도시 이름
countryCode: 국가의 약자
countryName: 국가 이름
latitude: 위도
longitude: 경도
postalCode: 우편번호 또는 이와 유사한 것
region: 주, 도, 지역의 약자
regionName: 주, 도, 지역의 이름

뉴렐릭 로그 파이프라인은 기본적으로 로그 메시지를 구문 분석하지만, 때로는 로그 메시지가 키/값 쌍 형식이 되는 경우도 있습니다. 이런 상황에서는 메시지를 구문 분석한 다음 키/값 속성을 사용하여 필터링할 수 있습니다.

그런 경우, keyvalue grok 유형을 사용하면 grok 패턴에서 캡처한 키/값 쌍을 구문 분석할 수 있습니다. 이 형식은 3가지 부분 즉, grok 구문, 구문 분석된 키/값 속성에 지정하려는 접두사, keyvalue grok 유형으로 구성됩니다. keyvalue grok 유형을 사용하면 로그에서 적절하게 형식이 지정되지 않은 키/값 쌍을 추출하고 구문 분석할 수 있습니다. 예를 들어 로그에 날짜/시간 문자열이 접두사로 붙은 경우:

2015-05-13T23:39:43.945958Z key1=value1,key2=value2,key3=value3

이 로그 형식에서 키/값 데이터를 추출하고 구문 분석하려면 다음 Grok 표현식을 만듭니다.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyvalue()}

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
  my_attribute_prefix.key1: "value1"
  my_attribute_prefix.key2: "value2"
  my_attribute_prefix.key3: "value3"

맞춤화된 구분 기호와 분리 기호를 정의해 필요한 키/값 쌍을 추출할 수도 있습니다.

2015-05-13T23:39:43.945958Z event:TestRequest request:bar

예를 들어, 다음 Grok 표현식을 사용하면:

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyvalue({"delimiter": " ", "keyValueSeparator": ":"})}

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
my_attribute_prefix.event: "TestRequest"
my_attribute_prefix.request: "bar"

my_attribute_prefix 접두사를 생략하려면 설정에 "noPrefix": true를 포함할 수 있습니다.

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyValue({"noPrefix": true})}

결과 로그는 다음과 같습니다.

containerTimestamp: "2015-05-13T23:39:43.945958Z"
event: "TestRequest"
request: "bar"

원하는 인용 문자 접두사를 설정하려면, 구성에 "quoteChar":를 포함시킵니다.

2015-05-13T23:39:43.945958Z nbn_demo='INFO',message='This message contains information with spaces ,sessionId='abc123'

%{TIMESTAMP_ISO8601:containerTimestamp} %{GREEDYDATA:my_attribute_prefix:keyValue({"quoteChar": "'"})}

결과 로그는 다음과 같습니다.

"my_attribute_prefix.message": "'This message contains information with spaces",
"my_attribute_prefix.nbn_demo": "INFO",
"my_attribute_prefix.sessionId": "abc123"

Grok 패턴 파라미터

다음 옵션을 사용하여 로그 형식에 맞게 구문 분석의 동작을 정의할 수 있습니다.

delimiter
- 설명: 각 키/값 쌍을 구분하는 문자열입니다.
- 기본값: , (쉼표)
- 재정의: 필드 delimiter를 설정하여 이 동작을 변경합니다.
keyValueSeparator
- 설명: 키에 값을 할당하는 데 사용되는 문자열입니다.
- 기본값: =
- 재정의: 원하는 분리 기호를 사용하려면 필드 keyValueSeparator를 설정합니다.
quoteChar
- 설명: 공백이나 특수 문자로 값을 묶는 데 사용되는 문자입니다.
- 기본값: " (큰따옴표)
- 재정의: quoteChar 사용하여 원하는 문자를 정의합니다.
dropOriginal
- 설명: 구문 분석 후 원본 로그 메시지를 삭제합니다. 로그 저장 공간을 줄이는 데 유용합니다.
- 기본값: true
- 재정의: 원래 로그 메시지를 유지하려면 dropOriginal을 false로 설정합니다.
noPrefix
- 설명: true로 설정된 경우 결과 객체에서 Grok 필드 이름을 접두사로 제외시킵니다.
- 기본값: false
- 재정의: noPrefix true로 설정하여 활성화합니다.
escapeChar
- 설명: 특수 로그 문자를 처리할 이스케이프 문자를 원하는 대로 정의합니다.
- 기본값: ""(역슬래시)
- 재정의: escapeChar로 맞춤화합니다.
trimValues
- 설명: 공백이 포함된 값을 잘라낼 수 있습니다.
- 기본값: false
- 재정의: 트리밍을 활성화하려면 trimValues를 true로 설정합니다.
trimKeys
- 설명: 공백이 포함된 키를 잘라낼 수 있습니다.
- 기본값: true
- 재정의: 트리밍을 활성화하려면 trimKeys를 true로 설정합니다.

로그 유형별 정리

뉴렐릭의 로그 수집 파이프라인은 로그를 구문 분석하는 방법을 설명하는 규칙에 로그 이벤트를 매칭시켜 데이터를 구문 분석할 수 있습니다. 다음 두 가지 방법으로 로그 이벤트를 구문 분석할 수 있습니다.

내장된 규칙을 사용합니다.
커스텀 규칙을 정의합니다.

규칙은 매칭되는 로직과 구문 분석 로직의 조합입니다. 매칭은 로그의 속성에 대한 쿼리 매치를 정의함으로써 수행됩니다. 규칙은 소급 적용되지 않습니다. 규칙이 생성되기 전에 수집된 로그는 해당 규칙에 의해 구문 분석되지 않습니다.

로그를 구성하고 구문 분석하는 가장 간단한 방법은 로그 이벤트에 logtype 필드를 포함하는 것입니다. 이것은 로그에 적용할 내장된 규칙을 뉴렐릭에 알려줍니다.

중요

구문 분석 규칙이 활성화되면, 규칙에 의해 구문 분석된 데이터는 영구적으로 변경됩니다. 변경 사항은 되돌릴 수 없습니다.

제한

구문 분석은 계산 비용이 많이 들고 위험이 따릅니다. 계정에 정의된 커스텀 규칙과 패턴을 로그에 매칭시키기 위해 구문 분석이 수행됩니다. 많은 수의 패턴이나 잘못 정의된 커스텀 규칙은 엄청난 양의 메모리와 CPU 리소스를 소비할 뿐아니라 완료하는 데도 오랜 시간이 걸립니다.

문제를 방지하기 위해, 규칙당 메시지당, 계정당 2회의 구문 분석 제한을 적용합니다.

제한	설명
Per-message-per-rule	규칙당 메시지당 제한으로 단일 메시지를 구문 분석하는 데 소요되는 시간이 100ms를 초과하는 것을 방지합니다. 이 제한에 도달하면 시스템은 해당 규칙을 사용하여 로그 메시지를 구문 분석하려는 시도를 중지합니다. 인제스트 파이프라인은 해당 메시지에 적용 가능한 다른 모든 항목을 실행하려고 시도하며, 메시지는 여전히 수집 파이프라인을 통해 전달되고 NRDB에 저장됩니다. 로그 메시지는 원래의 구문 분석되지 않은 포맷입니다.
Per-account	계정당 제한은 계정이 공정한 리소스 할당량 이상을 사용하는 것을 방지하기 위함입니다. 이 제한은 계정에 대한 분당 모든(all) 로그 메시지를 처리하는 데 소요된 총 시간을 고려합니다.

제한

설명

Per-message-per-rule

규칙당 메시지당 제한으로 단일 메시지를 구문 분석하는 데 소요되는 시간이 100ms를 초과하는 것을 방지합니다. 이 제한에 도달하면 시스템은 해당 규칙을 사용하여 로그 메시지를 구문 분석하려는 시도를 중지합니다.

인제스트 파이프라인은 해당 메시지에 적용 가능한 다른 모든 항목을 실행하려고 시도하며, 메시지는 여전히 수집 파이프라인을 통해 전달되고 NRDB에 저장됩니다. 로그 메시지는 원래의 구문 분석되지 않은 포맷입니다.

Per-account

계정당 제한은 계정이 공정한 리소스 할당량 이상을 사용하는 것을 방지하기 위함입니다. 이 제한은 계정에 대한 분당 모든(all) 로그 메시지를 처리하는 데 소요된 총 시간을 고려합니다.

팁

제한에 도달했는지 쉽게 확인하려면 뉴렐릭 UI의 시스템 Limits 페이지로 이동합니다.

기본 구문 분석 규칙

공통 로그 포맷에는 잘 정립된 구문 분석 규칙이 이미 생성되어 있습니다. 내장된 구문 분석 규칙의 이점을 얻으려면, 로그를 전달할 때 logtype 속성을 추가합니다. 값을 다음 표에 나열된 값으로 설정하면, 해당 유형의 로그에 대한 규칙이 자동으로 적용됩니다.

내장된 규칙 목록

다음 logtype 속성 값은 사전 정의된 구문 분석 규칙에 매핑됩니다. 예를 들어, Application Load Balancer를 쿼리하려면:

뉴렐릭 UI에서 logtype:"alb" 포맷을 사용합니다.
NerdGraph에서 logtype = 'alb' 포맷을 사용합니다.

각 규칙에 대해 구문 분석되는 필드를 알아보려면 내장된 구문 분석 규칙에 대한 문서를 참조하십시오.

`logtype`	로그 소스	매칭 쿼리의 예
`apache`	Apache 액세스 로그	`logtype:"apache"`
`apache_error`	Apache 오류 로그	`logtype:"apache_error"`
`alb`	애플리케이션 로드 밸런서 로그	`logtype:"alb"`
`cassandra`	Cassandra 로그	`logtype:"cassandra"`
`cloudfront-web`	CloudFront (표준 웹 로그)	`logtype:"cloudfront-web"`
`cloudfront-rtl`	CloudFront (실시간 웹 로그)	`logtype:"cloudfront-rtl"`
`elb`	Elastic 로드 밸런서 로그	`logtype:"elb"`
`haproxy_http`	HAProxy 로그	`logtype:"haproxy_http"`
`ktranslate-health`	KTranslate 컨테이너 상태 로그	`logtype:"ktranslate-health"`
`linux_cron`	Linux cron	`logtype:"linux_cron"`
`linux_messages`	Linux 메시지	`logtype:"linux_messages"`
`iis_w3c`	Microsoft IIS 서버 로그 - W3C 포맷	`logtype:"iis_w3c"`
`mongodb`	MongoDB 로그	`logtype:"mongodb"`
`monit`	Monit 로그	`logtype:"monit"`
`mysql-error`	MySQL 오류 로그	`logtype:"mysql-error"`
`nginx`	NGINX 액세스 로그	`logtype:"nginx"`
`nginx-error`	NGINX 오류 로그	`logtype:"nginx-error"`
`postgresql`	PostgreSQL 로그	`logtype:"postgresql"`
`rabbitmq`	Rabbitmq 로그	`logtype:"rabbitmq"`
`redis`	Redis 로그	`logtype:"redis"`
`route-53`	Route 53 로그	`logtype:"route-53"`
`syslog-rfc5424`	RFC5424 포맷 Syslog	`logtype:"syslog-rfc5424"`

추가하다 `logtype`

로그를 집계할 때는 로그를 쉽게 구성, 검색 및 구문 분석할 수 있도록 메타데이터를 제공하는 것이 중요합니다. 이를 위한 한 가지 간단한 방법은 전송될 때 로그 메시지에 속성 logtype을 추가하는 것입니다. 내장된 구문 분석 규칙은 특정 logtype 값에 기본적으로 적용됩니다.

팁

logType, logtype 및 LOGTYPE 필드는 모두 내장된 규칙을 지원합니다. 검색을 쉽게 하려면 조직이 단일 구문으로 정렬하는 것이 좋습니다.

다음은 지원되는 전송 방법 중 일부에서 보낸 로그에 logtype을 추가하는 몇 가지 방법의 예입니다.

logtype을 attribute로 추가합니다. 명명된 각 소스에 대해 로그 유형을 설정해야 합니다.

logs:
  - name: file-simple
    file: /path/to/file
    attributes:
      logtype: fileRaw
  - name: nginx-example
    file: /var/log/nginx.log
    attributes:
      logtype: nginx

record_transformer를 사용하여 새 필드를 추가하는 .conf 파일에 필터 블록을 추가합니다. 이 예에서는 nginx의 logtype을 사용하여 내장 NGINX 구문 분석 규칙을 트리거합니다. 다른 Fluentd 예제들을 확인해 보십시오.

<filter containers>
  @type record_transformer
  enable_ruby true
  <record>
    #Add logtype to trigger a built-in parsing rule for nginx access logs
    logtype nginx
    #Set timestamp from the value contained in the field "time"
    timestamp record["time"]
    #Add hostname and tag fields to all records
    hostname "#{Socket.gethostname}"
    tag ${tag}
  </record>
</filter>

record_modifier를 사용하여 새 필드를 추가하는 필터 블록을 .conf 파일에 추가합니다.이 예에서는 nginx의 logtype을 사용하여 내장된 NGINX 구문 분석 규칙을 트리거합니다. 다른 Fluent Bit 예시를 확인해보십시오.

[FILTER]
    Name   record_modifier
    Match  *
    Record logtype nginx
    Record hostname ${HOSTNAME}
    Record service_name Sample-App-Name

add_field mutate 필터를 사용해 새 필드를 추가하는 필터 블록을 Logstash 구성에 추가합니다. 이 예에서는 nginx의 logtype을 사용하여 내장된 NGINX 구문 분석 규칙을 트리거합니다. 다른 Logstash 예시를 확인해보십시오.

filter {
  mutate {
    add_field => {
      "logtype" => "nginx"
      "service_name" => "myservicename"
      "hostname" => "%{host}"
    }
  }
}

뉴렐릭으로 전송된 JSON 요청에 속성을 추가할 수 있습니다. 이 예에서는 값이 nginx인 logtype 속성을 추가하여 내장된 NGINX 구문 분석 규칙을 트리거합니다. Logs API를 사용하는 방법을 보다 자세히 알아보십시오.

POST /log/v1 HTTP/1.1
Host: log-api.newrelic.com
Content-Type: application/json
X-License-Key: YOUR_LICENSE_KEY
Accept: */*
Content-Length: 133
{
  "timestamp": TIMESTAMP_IN_UNIX_EPOCH,
  "message": "User 'xyz' logged in",
  "logtype": "nginx",
  "service": "login-service",
  "hostname": "login.example.com"
}

커스텀 구문 분석 규칙 생성 및 보기

많은 로그가 고유한 방식으로 형식화되거나 구조화됩니다. 이를 구문 분석하려면 커스텀 로직을 빌드하고 적용해야 합니다.

로그 UI의 왼쪽 탐색 메뉴에서 Parsing을 선택한 다음 유효한 NRQL WHERE 절과 Grok 패턴을 사용하여 고유한 커스텀 구문 분석 규칙을 생성합니다.

고유한 커스텀 구문 분석 규칙을 만들고 관리하려면 다음을 수행합니다.

one.newrelic.com > All capabilities > Logs으로 이동합니다.
로그 UI 왼쪽 탐색 메뉴의 Manage data에서 Parsing을 클릭한 다음 Create parsing rule을 클릭합니다.
새 구문 분석 규칙의 이름을 입력합니다.
구문 분석할 기존 필드를 선택(기본값 = message)하거나 새 필드 이름을 입력합니다.
구문 분석하려는 로그와 매치되는 유효한 NRQL WHERE 절을 입력합니다.
매치하는 로그가 있으면 선택하거나 Paste log 탭을 클릭하여 샘플 로그를 붙여넣습니다. 로그 UI 또는 쿼리 빌더에서 텍스트를 복사하여 구문 분석 UI에 붙여넣는 경우 해당 버전이 Unformatted 버전인지 확인합니다.
구문 분석 규칙을 입력하고 Output 섹션의 결과를 확인하여 작동하는지 확인합니다. Grok 및 커스텀 구문 분석 규칙에 대해 보다 자세히 알아보려면 Grok 패턴으로 로그를 구문 분석하는 방법에 대한 블로그 게시물을 확인해보십시오.
커스텀 구문 분석 규칙을 활성화하고 저장합니다.

기존 구문 분석 규칙을 보려면:

one.newrelic.com > All capabilities > Logs으로 이동합니다.
로그 UI 왼쪽 탐색 메뉴의 Manage data에서 Parsing을 클릭합니다.

문제 해결

구문 분석이 의도한 대로 작동하지 않는 경우 다음과 같은 이유 때문일 수 있습니다.

Logic: 구문 분석 규칙 매칭 로직이 원하는 로그와 일치하지 않습니다.
Timing: 구문 분석 매칭 규칙이 아직 존재하지 않는 값을 대상으로 하는 경우, 구문 분석이 실패합니다. 보강 프로세스의 일부로 나중에 파이프라인에 값을 추가하면 이런 일이 발생할 수 있습니다.
Limits: 분당 구문 분석, 패턴, 드롭 필터 등을 통해 로그를 처리하는 데 사용할 수 있는 시간이 한정되어 있습니다. 최대 시간이 소요된 경우 추가 로그 이벤트 레코드에 대한 구문 분석을 건너뜁니다.

이러한 문제를 해결하려면 커스텀 구문 분석 규칙을 만들거나 조정해야 합니다.

구문 분석 예시

로그 구문 분석의 작동 방식

Grok을 사용한 속성 구문 분석

Grok 예: 로그에서 유용한 데이터 가져오기

UI 예: Grok 구문 분석 규칙 만들기

지원되는 Grok 유형

Grok 멀티라인(여러 줄) 구문 분석

일반 텍스트와 혼합된 JSON 구문 분석

CSV 구문 분석

열 구성:

선택적 구성 옵션:

IP 주소 위치 파악(GeoIP)

룩업 구성:

키/값 쌍 구문 분석

Grok 패턴 파라미터

로그 유형별 정리

중요

제한

팁

기본 구문 분석 규칙

내장된 규칙 목록

추가하다 `logtype`

팁

뉴렐릭 인프라 에이전트 예시

Fluentd 예시

Fluent Bit 예시

Logstash 예시

로그 API 예시

커스텀 구문 분석 규칙 생성 및 보기

문제 해결

Parsing log data

구문 분석 예시 .css-21sua1{background:none;border:none;width:0;padding:0;}

로그 구문 분석의 작동 방식

Grok을 사용한 속성 구문 분석

UI 예: Grok 구문 분석 규칙 만들기

지원되는 Grok 유형

Grok 멀티라인(여러 줄) 구문 분석

일반 텍스트와 혼합된 JSON 구문 분석

CSV 구문 분석

IP 주소 위치 파악(GeoIP)

키/값 쌍 구문 분석

로그 유형별 정리

중요

제한

팁

기본 구문 분석 규칙

내장된 규칙 목록

추가하다 logtype

팁

뉴렐릭 인프라 에이전트 예시

Fluentd 예시

Fluent Bit 예시

Logstash 예시

로그 API 예시

커스텀 구문 분석 규칙 생성 및 보기

문제 해결

구문 분석 예시

추가하다 `logtype`