Мониторинг файла журнала

Вы можете задать источник данных, чтобы получать данные из текстового файла журнала. Агент периодически анализирует строки, добавленные в файл журнала, и генерирует информацию о событиях на основе этих строк. Можно сконфигурировать способ, которым агент анализирует журнал для получения событий. Также можно сконфигурировать агент, чтобы применить фильтр к данным и суммировать данные. Полученные события будут помещены в набор данных.

Прежде чем начать

Прим.: Агент отслеживает файлы журнала с теми же локалью и кодовой страницей, в которых работает агент.

Процедура

  1. На странице Начальный источник данных агента или Положение источника данных щелкните по Пользовательские программы в области Категории данных мониторинга.
  2. В области Источники данных нажмите кнопку Файл журнала.
  3. Щелкните поДалее.
  4. На странице Информация о файле журнала введите имя файла журнала, который вы хотите отслеживать, в области Информация о файле журнала.
    Имя файла должно быть полным.
    1. Необязательно: Часть имени файла журнала можно взять из свойства конфигурации среды выполнения. Чтобы создать имя файла журнала, нажмите Вставить свойство конфигурации и выберите свойство конфигурации.
    2. Необязательно: Файл также может представлять собой динамическое имя файла. Более подробную информацию смотрите в разделе Поддержка динамических имен файлов.
  5. В области Идентификатор поля выберите одну из следующих опций:
    Фиксированное число символов
    Выбор этой опции ограничивает число символов.

    При использовании этой опции для каждого атрибута назначается максимальное число символов, которое он может получить из файла журнала. Например, есть три атрибута A, B и C (в этом порядке), а каждый атрибут - это строка с максимальной длиной 20 байт. В таком случае первые 20 байт записи журнала записываются в A, вторые 20 байт - в B, а следующие 20 байт - в C.

    Разделитель - табулятор
    Если выбрана эта опция, то в качестве разделителей можно использовать табуляторы.
    Разделитель - пробел
    Если выбрана эта опция, то в качестве одного разделителя можно использовать несколько пробелов.
    Текст разделителя
    Если выбрана эта опция, то введите текст разделителя.
    Начальный и конечный текст
    Если выбрана эта опция, то введите начальный и конечный текст.
    XML в элементе
    Если вы выбрали эту опцию, то введите имя элемента XML для использования в качестве записи, или щелкните по Обзор, чтобы задать элемент.

    Если вы щелкнете по Обзор, то откроется окно Браузер XML. Если вы используете функции обзора, то Agent Builder определит все возможные атрибуты записи, просматривая дочерние теги и их атрибуты.

    Прим.: Если вы не щелкнете по Дополнительно и не введете данные в соответствующем окне, информация, которую вы вводите здесь, основывается на следующих предположениях:
    • Одновременно отслеживается только один файл журнала.
    • Каждая строка файла журнала содержит все поля, необходимые для заполнения задаваемых атрибутов.

    Дополнительную информацию об анализе файла журнала и разделителях смотрите в разделе Анализ файлов журнала и разделители.

  6. Необязательно: На странице Информация о файле журнала щелкните по Дополнительно, чтобы выполнить на странице Дополнительные свойства источника данных следующее:
    • Отслеживать несколько файлов, отслеживать файлы с разными именами в разных операционных системах или отслеживать файлы с именами, которые соответствуют регулярным выражениям.
    • Вывести набор полей более чем из одной строки файла журнала.
    • Выбрать опции фильтрации и суммирования событий.
    • Создать сводную информацию о выводе. Эта сводная информация создает на каждом интервале дополнительную группу атрибутов. Более подробную информацию об этой группе атрибутов смотрите в разделе Сводная информация о журнале. Эта функция реализуется опциями на вкладке Информация о событии.
    1. Чтобы производить мониторинг более чем одного файла журнала, щелкните по Добавить и введите имя.
      Если указано более одного файла, для каждого файла нужно ввести уникальную метку. Метка может выводиться на экран в качестве атрибута, указывающего, какой файл сгенерировал запись. Пробелов в ней быть не должно.
    2. Необязательно: Чтобы выбрать операционные системы, в которых нужно отслеживать каждый файл журнала, сделайте следующее:
      1. Щелкните по столбцу Операционная система для файла журнала.
      2. Щелкните по Изменить.
      3. В окне Операционные системы выберите операционные системы.
      4. Нажмите OK, чтобы сохранить изменения и вернуться на страницу Дополнительные свойства источника данных.
    3. Необязательно: Выберите Имена файлов, соответствующие регулярному выражению, если имя файла - это регулярное выражение, которое будет использоваться для поиска файла вместо имени файла.
      Дополнительную информацию смотрите в разделе Регулярные выражения ICU. Если этот переключатель не выбран, то имя должно быть фактическим именем. Можно также использовать шаблон, который соответствует шаблонам имен файлов, описанными в разделе Синтаксис динамических имен файлов.
    4. Необязательно: Выберите Один элемент подкаталога, соответствующий регулярному выражению, чтобы с регулярным выражением сопоставлялся один подкаталог имени файла.
      Эту опцию можно выбрать, только если на предыдущем шаге вы выбрали Имена файлов, соответствующие регулярному выражению.

      Если в имени каталога используются метасимволы регулярного выражения, то метасимволы можно использовать только в одном подкаталоге каталога. Например, можно задать /var/log/[0-9\.]*/mylog.*, чтобы в одном подкаталоге использовались метасимволы. [0-9\.]* найдет любой подкаталог в /var/log, имя которого содержит только цифры и точки (.). mylog.* найдет все файлы в подкаталогах /var/log, имена которых начинаются со строки mylog, за которой следуют 0 или несколько символов.

      В некоторых операционных системах в качестве разделителя каталогов используется обратная косая черта (\), которую можно спутать с управляющим метасимволом регулярного выражения. Поэтому для указания каталогов нужно всегда использовать косую черту. Например, файлы Windows, заданные как C:\temp\mylog.*, содержат \t (символ табуляции). Поэтому всегда используйте для разделения каталогов косую черту (/) во всех операционных системах. C:/temp/mylog.* представляет все файлы в каталоге C:/temp, имена которых начинаются с mylog.

    5. Выберите в списке Если соответствует несколько файлов одну из следующих опций:
      • Файл с наибольшим числовым значением в имени файла
      • Самый большой файл
      • Последний измененный файл
      • Последний созданный файл
      • Все соответствующие файлы
      Прим.: Если выбрано Все соответствующие файлы, то агент определит все файлы в каталоге, которые соответствуют шаблону динамических имен файлов. Агент выполняет мониторинг обновлений всех файлов в параллельном режиме. Во время сбора данных данные от всех файлов будут смешаны. Рекомендуется добавлять атрибут, выбирая в области Информация о поле записи Имя файла журнала, чтобы соотнести сообщения журнала с файлами журнала, которые содержат сообщения. Убедитесь, что все файлы, соответствующие шаблону динамических имен файлов, можно разбить на атрибуты унифицированным методом. Если файлы журнала невозможно проанализировать единообразно, то рекомендуется выбрать Вся запись в области Информация о поле записи, чтобы задать один атрибут. Дополнительную информацию о том, как задать область Информация о поле записи для атрибутов, смотрите в описании шага 8.
    6. Выберите, как должен обрабатываться файл.
      Если выбрана опция Обработать все записи при выборке файла, то можно обработать все записи во всем файле при каждом окончании интервала выборки для мониторинга журнала. Интервал по умолчанию - 60 секунд. Этот интервал можно изменить при помощи переменной среды KUMP_DP_COPY_MODE_SAMPLE_INTERVAL (задает значение в секундах). Об одних и тех же записях будет сообщаться каждый раз, если их не удалят из файла. Если выбрана эта опция, данные о событии не генерируются при внесении в файл новых записей. Если выбрано Обработать новые записи, присоединенные к файлу, то можно обработать новые записи, присоединенные к файлу во время работы агента. Запись о событии генерируется для каждой записи, добавляемой в файл. Если файл заменят (любым образом изменится первая запись), то файл обрабатывается и генерируется событие для каждой записи в файле.
      Прим.: Если вы присоединяете записи к файлу журнала XML, то записи присоединения должны содержать полный набор элементов, заданных в элементе XML, который вы выбрали как Идентификатор поля.
    7. Если вы решите обрабатывать новые записи, присоединенные к файлу, то вы также можете указать, как будут выявляться новые записи.
      Опция Выявить новые записи при увеличении числа записей позволяет обнаруживать новые записи при увеличении числа записей в файле независимо от того, изменяется ли размер файла. Эта функция полезна, если весь файл журнала был выделен заранее, до внесения каких-либо записей в файл. Эту опцию можно выбрать и для файлов, которые не выделялись заранее, но это будет менее эффективно, чем мониторинг размера файла. Опция Выявить новые записи при увеличении размера файла обеспечивает стандартный способ определения присоединения новой записи к файлу. Возможна краткая задержка при выявлении замены отслеживаемого файла.
    8. Если вы выбрали Выявить новые записи при увеличении размера файла, то вы можете также указать, как следует обрабатывать файл, который уже существовал на момент запуска агента мониторинга.
      Опция Игнорировать существующие записи позволяет отключить генерирование событий для всех записей в файле, существовавших на момент запуска агента. Опция Обработать ___ записей, существующих в файле позволяет генерировать событие для фиксированного числа записей, считая с конца файла на момент запуска агента. Опция Обработать записи, ранее не обработанные агентом указывает агенту мониторинга, что нужно сохранить данные при перезапуске, чтобы агент знал, какие записи были обработаны при его последнем запуске. События генерируются для всех записей, присоединенных к файлу с того момента, когда агент работал в последний раз. Для этого требуется некоторая дополнительная обработка при каждом добавлении записи в файл.
    9. Если вы выбрали Обработать записи, ранее не обработанные агентом, то вы можете указать, что делать, если агент запустится и окажется, что существующий файл был заменен.
      Обработать все записи, если файл был заменен: Если информация об отслеживаемом файле не совпадает с информацией данных перезапуска, то события создаются для всех записей в файле. Примеры несовпадений: изменилось имя файла или время создания файла, уменьшился размер файла, время последнего изменения файла оказалось более ранним, чем было. Опция Не обрабатывать все записи, если файл был заменен: Если информация об отслеживаемом файле не совпадает с информацией данных перезапуска, то записи, существующие в файле, не обрабатывается.
    10. Выберите вкладку Record Identification, чтобы указать, что несколько строк в файле журнала должны рассматриваться как одна логическая запись.
      Прим.: Вкладка Идентификация записей не будет показана, если вы выбрали XML в элементе в качестве идентификатора поля на странице Информация о файле журнала.
      • Одна строка интерпретирует каждую строку как отдельную логическую запись.
      • Строка разделителя - можно ввести последовательность символов, которая определяет строку, отделяющую одну запись от другой.
        Прим.: Строка разделителя - это не часть предыдущей или последующей записи.
      • Правило задает максимальное число строк, составляющих запись, и, дополнительно, последовательность символов, указывающую начало или конец записи. При помощи опции Правило можно задать следующие свойства:
        • Максимальное число непустых строк - максимальное число непустых строк, которое может быть обработано правилом.
        • Тип правила - один из следующих:
          • Без сравнения текста - параметр Максимальное число строк для записи указывает одну логическую запись
          • Указать начало записи - помечает начало одной логической записи.
          • Указать конец записи - помечает конец одной логической записи.
        • Смещение - задает позицию вхождения строки сравнения в строке.
        • Проверка сравнения - Равно (последовательность символов должна совпадать в указанном смещении) или Не равно (в указанном смещении не должно быть конкретной последовательности символов).
        • Строка сравнения - последовательность символов для сравнения.
      • Регулярное выражение - задает шаблон для указания начала или конца записи. При помощи опции Регулярное выражение можно задать следующие свойства:
        • Строка сравнения - последовательность символов, которая должна совпадать.

          ИЛИ

        • Начало или конец записи:
          • Указать начало записи - помечает начало одной логической записи.
          • Указать конец записи - помечает конец одной логической записи.
    11. Если вы выбрали опцию Обработать все записи при выборке файла, то нажмите вкладку Выражение фильтра. Если вы выбралиВыражение фильтра, то вы можете применить фильтр к данным, которые будут возвращаться как строки, на основе значений одного или нескольких атрибутов и/или переменных конфигурации.
      Если вы выбрали Обработать новые записи, присоединенные к файлу, то вы не сможете создать выражение фильтра. Дополнительную информацию о фильтрации данных в группах атрибутов смотрите в разделе Фильтрация групп атрибутов.
    12. Если вы выбрали Обработать новые записи, присоединенные к файлу, то нажмите вкладку Информация о событии, чтобы выбрать опции фильтрации и суммирования событий.
      Более подробную информацию смотрите в разделе Суммирование и фильтрация событий.
      Прим.: Если агент создан в предыдущей версии Agent Builder, то может открыться вкладка Сводка. Теперь вкладка Сводка заменена вкладкой Информация о событии.
  7. Необязательно: Необязательно: Нажмите Проверить параметры файла журнала на странице Информация о файле журнала, чтобы запустить и протестировать источник данных. . После того, как вы выбрали опции для источника журнала, щелкните по Проверить параметры файла журнала. Когда вы тестируете источник данных файла журнала и предоставляете содержание файла журнала, Построитель агентов создает атрибуты в группе автоматически, на основе результатов анализа журнала. Дополнительную информацию о тестировании смотрите в разделе Тестирование групп атрибутов Файл журнала.
  8. Если вы не использовали функцию тестирования и ввели имя файла журнала в области Информация о файле журнала страницы Информация о файле журнала, то сделайте следующее:
    1. Нажмите Далее, чтобы открыть страницу Информация об атрибуте и определите первый атрибут в группе атрибутов.
    2. Задайте информацию на странице Информация об атрибуте и нажмите Готово.
    Прим.: Если группа атрибутов Файл журнала добавлена в агент с минимальной версией Tivoli Monitoring по умолчанию (6.2.1) или более поздней, то включается группа атрибутов Состояние файла журнала. Дополнительную информацию о группе атрибутов Состояние файла журнала смотрите в разделе Группа атрибутов Состояние файла журнала.

    Помимо полей, применимых ко всем источникам данных, страница Информация об атрибутах для источника данных Файл журнала содержит дополнительные поля в области Информация о поле записи.

    В области Информация о поле записи есть следующие поля:
    Следующее поле
    Содержит следующее поле после анализа с использованием ограничителей для группы атрибутов (или специальных ограничителей для данного атрибута из диалогового окна Дополнительно).
    Остальная часть записи
    Содержит часть записи, оставшуюся после анализа предыдущих атрибутов. Это последний атрибут, кроме, возможно, имени файла журнала или метки файла журнала.
    Вся запись
    Показывает всю запись: это может быть один атрибут, кроме, возможно, имени файла журнала или метки файла журнала.
    Имя файла журнала
    Содержит имя файла журнала.
    Метка файла журнала
    Содержит метку, присвоенную файлу на панели дополнительных параметров.
    Прим.: Вкладка Подробности производного атрибута нужна только для работы с производным атрибутом, а не с атрибутом, получаемым непосредственно из файла журнала.
  9. Щелкните по Дополнительно в области Информация о поле записи, чтобы открыть страницу Дополнительная информация об атрибуте файла журнала.
    1. Укажите в разделе Фильтры атрибутов критерии включения и исключения данных.
      Применение фильтров к атрибутам может повысить производительность вашего решения за счет уменьшения объема обрабатываемых данных. Щелкните по фильтру атрибутов (или по нескольким фильтрам):
      • Включительно означает, что заданный набор фильтров - это фильтр принятия: если запись удовлетворяет условиям набора, то она проходит через фильтр и включается в выходные результаты.
      • Исключительно означает, что заданный набор фильтров - это фильтр отказа: если запись удовлетворяет условиям набора, то она отклоняется и не включается в выходные результаты.
      • Соответствие всем фильтрам означает, что для соответствия записи условиям фильтров она должна удовлетворять условиям всех фильтров.
      • Соответствие любому фильтру означает, что для соответствия записи условиям фильтров она должна удовлетворять условиям любого из фильтров.
    2. Задать отдельные фильтры для набора фильтров атрибута можно при помощи функций Добавить, Правка и Удалить.
    3. Чтобы добавить фильтр, сделайте следующее:
      1. Щелкните по Добавить и задайте опции, показанные в окне Добавить фильтр следующим образом:
        1. В разделе Критерии фильтра задаются основные характеристики фильтра, включая следующие свойства:
          • Начальное смещение задает позицию в строке атрибута, с которой начинается сравнение.
          • Строка сравнения задает строку шаблона, с которой сравнивается атрибут.

            Введите строку, шаблон или регулярное выражение, которые будут использоваться агентом для применения фильтра к данным, прочитанным в файле. Записи, соответствующие шаблону фильтра, либо удаляются из записей, возвращенных в среду мониторинга, либо это будут единственные возвращенные записи. Результат зависит от выбранного режима фильтра (включительно или исключительно).

          • Сопоставить с полным значением проверяет точное совпадение строки сравнения со строкой атрибута. Проверка начинается с позиции начального смещения.
          • Сопоставить с любой частью значения проверяет совпадение строки сравнения с любой частью строки атрибута. Проверка начинается с позиции начального смещения.
        2. Строка сравнения - это регулярное выражение указывает, что строка сравнения - это шаблон регулярного выражения, который можно применить к строке атрибута.

          Поддержка фильтров на основе регулярных выражений обеспечивается библиотеками International Components for Unicode (ICU); при этом проверяется, соответствует ли данное выражение указанному шаблону.

          Чтобы эффективно использовать поддержку регулярных выражений, вы должны представлять себе, как компоненты ICU реализуют регулярные выражения. Эта реализация отличается от реализации поддержки регулярных выражений в Perl, grep, sed, регулярных выражениях Java™ и в других реализациях. Информацию о создании фильтров регулярных выражений смотрите в разделе Регулярные выражения ICU.

        3. Задать фильтр переопределения указывает, что вы хотите задать более точное сравнение фильтров, которое переопределяет заданные ранее основные характеристики. Эта дополнительная строка сравнения обращает результаты применения фильтра. Если указан фильтр Включительно, то переопределение действует как квалификатор исключения для выражения фильтра. Если указан фильтр Исключительно, то переопределение действует как квалификатор включения для выражения фильтра. Дополнительную информацию о параметрах Включительно и включении и Исключительно смотрите в описании шага 9 и в последующих примерах. Ниже описаны свойства фильтров переопределения.
          • Начальное смещение задает позицию в строке атрибута, с которой начинается сравнение.
          • Строка сравнения задает строку шаблона, с которой сравнивается атрибут.

            Введите регулярное выражение, которое будет использоваться агентом для применения фильтра к данным, прочитанным в файле. Записи, соответствующие шаблону фильтра, либо удаляются из записей, возвращенных в среду мониторинга, либо это будут единственные возвращенные записи. Результат зависит от выбранного режима фильтра (включительно или исключительно).

        4. Значение замены можно использовать, чтобы заменить необработанную строку атрибута на новую. Дополнительную информацию о специальных символах смотрите в разделе Регулярные выражения ICU.
        5. Заменить первое вхождение заменяет первое вхождение совпадения со строкой сравнения на новый текст.
        6. Заменить все вхождения заменяет все вхождения совпадений со строкой сравнения на новый текст.
      2. Нажмите кнопку ОК.
      Рис. 1. Добавить фильтр, пример 1
      Окно Добавить фильтр, где показана строка сравнения ^([a-z]*) is ([a-z]*) as ([0-9]*)$ и значение замены $3 is not as $2 as $1.
      Если строка атрибута - abc is easy as 123, то в Tivoli Enterprise Portal или консоли IBM® Cloud Application Performance Management будет показана замененная строка 123 is not as easy as abc.
      Рис. 2. Добавить фильтр, пример 2
      Добавить фильтр, пример
      Если строка атрибута - Невосстановимая ошибка чтения с диска и фильтр задан как Inclusive, то атрибут будет показан в Tivoli Enterprise Portal или консоли IBM Cloud Application Performance Management. Если строка атрибута - Еженедельное резервное копирование выполнено без ошибок и фильтр задан как включительный, то атрибут не будет показан.
    4. В разделе Идентификатор поля страницы Дополнительная информация об атрибуте файла журнала можно указать, как переопределить разделители полей для группы атрибутов только для данного атрибута. Щелкните по одному из фильтров атрибута и введите данные в нужные поля:
      • Число символов: задайте предельное число символов.
      • Разделитель - табулятор: указывает, что в качестве разделителей нужно использовать табуляторы.
      • Текст разделителя: введите в это поле текст разделителя.
      • Начальный и конечный текст: введите начальный и конечный текст.
    5. Щелкните в разделе Сводка страницы Дополнительная информация об атрибуте файла журнала по переключателю Включить атрибут в группу атрибутов сводных сведений, чтобы добавить атрибут в группу атрибутов атрибутов сводных сведений.
      Эта группа атрибутов создается, если пользователь включит суммирование атрибутов журнала.
    6. Нажмите кнопку ОК.
  10. Если вы использовали функцию тестирования на шаге 7, то откроется страница Выбор атрибутов ключа. Выберите на странице Выбрать атрибуты ключа атрибуты ключа или укажите, что этот источник данных создает только одну строку данных.
    Более подробную информацию смотрите в разделе Выбор атрибутов ключей.
  11. Выполните одно из следующих действий:
    • Если вы используете Мастер по созданию агентов, то нажмите Далее.
    • Нажмите кнопку Готово, чтобы сохранить источник данных и открыть редактор агентов.
    Прим.: Если группа атрибутов Файл журнала добавлена в агент с минимальной версией Tivoli Monitoring по умолчанию (6.2.1) или более поздней, то включается группа атрибутов Состояние файла журнала. Дополнительную информацию о группе атрибутов Состояние файла журнала смотрите в разделе Группа атрибутов Состояние файла журнала.