使用正则解析插件采集文本日志_日志服务(SLS)-阿里云帮助中心

Logtail正则解析插件支持通过正则表达式提取日志字段，并将日志解析为键值对形式。本文介绍如何通过日志服务控制台创建正则模式的Logtail配置采集日志。

方案概览

假设您的原始日志为：

127.0.0.1 - - [16/Aug/2024:14:37:52 +0800] "GET /wp-admin/admin-ajax.php?action=rest-nonce HTTP/1.1" 200 41 "http://www.example.com/wp-admin/post-new.php?post_type=page" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"

通过正则解析插件处理后效果展示：

其中使用的正则表达式为：

(\S+)\s-\s(\S+)\s\[([^]]+)]\s"(\w+)\s(\S+)\s([^"]+)"\s(\d+)\s(\d+)\s"([^"]+)"\s"([^"]+).*

前提条件

已创建Logtail机器组并添加相应服务器，创建机器组的步骤，请参见创建用户自定义标识机器组（推荐）或创建IP地址机器组。
安装Logtail的主机需开放80（HTTP）端口和443（HTTPS）端口。ECS实例的端口由安全组规则控制，添加安全组规则的步骤请参见添加安全组规则。
服务器日志的内容持续新增。Logtail只采集增量日志，如果下发Logtail配置后日志文件无更新，则Logtail不会采集该文件中的日志。更多信息，请参见读取日志。

1. 选择Project和Logstore

登录日志服务控制台。
单击控制台右侧的快速接入数据卡片。
在接入数据页面，查找正则 - 文本日志并单击。
选择目标Project和Logstore，日志会被采集到对应的Logstore。

2. 机器组配置

Logtail配置会应用到指定的机器组，从而采集服务器上的数据。无论是否已有机器组，都必须根据实际需求正确选择使用场景和安装环境，这将影响后续的页面配置。

已有机器组
从源机器组列表选择目标机器组，单击下一步。
没有可用机器组
单击创建机器组，在创建机器组面板设置相关参数。机器组标识分为IP地址和用户自定义标识，更多信息请参见创建用户自定义标识机器组（推荐）或创建IP地址机器组。
重要
创建机器组后立刻应用，可能因为连接未生效，导致心跳为FAIL，您可单击重试。如果还未解决，请参见Logtail机器组无心跳进行排查。

3. Logtail配置

3.1 全局配置

全局配置

配置项	说明
配置名称	Logtail配置名称，在其所属Project内必须唯一。创建Logtail配置成功后，无法修改其名称。
日志主题类型	选择日志主题（Topic）的生成方式。更多信息，请参见日志主题。机器组Topic：设置为机器组的Topic属性，用于明确区分不同机器组产生的日志。文件路径提取：设置为文件路径正则，则需要设置自定义正则，用正则表达式从路径里提取一部分内容作为Topic。用于区分不同源产生的日志。自定义：自定义日志主题。
高级参数	其它可选的与配置全局相关的高级功能参数，请参见创建Logtail流水线配置。

3.2 输入配置

文件路径
最大目录监控深度

输入配置

配置项	说明
文件路径	根据日志在主机（例如ECS）上的位置，设置日志目录和文件名称。如果目标主机是Linux系统，则日志路径必须以正斜线（/）开头，例如`/apsara/nuwa//app.Log`。如果目标主机是Windows系统，则日志路径必须以盘符开头，例如`C:\Program Files\Intel\\.Log`。目录名和文件名均支持完整模式和通配符模式，文件名规则请参见Wildcard matching。其中，日志路径通配符只支持星号（）和半角问号（?）。日志文件查找模式为多层目录匹配，即符合条件的指定目录（包含所有层级的目录）下所有符合条件的文件都会被查找到。例如： `/apsara/nuwa/*/.log`表示`/apsara/nuwa`目录（包含该目录的递归子目录）中后缀名为.log的文件。 `/var/logs/app_//.log`表示`/var/logs`目录下所有符合`app_`格式的目录（包含该目录的递归子目录）中后缀名为`.log`的文件。 `/var/log/nginx//access`表示`/var/log/nginx`目录（包含该目录的递归子目录）中以`access`开头的文件。
最大目录监控深度	设置日志目录被监控的最大深度，即文件路径中通配符`**`匹配的最大目录深度。0代表只监控本层目录。
文件编码	选择日志文件的编码格式。
首次采集大小	配置首次生效时，匹配文件的起始采集位置距离文件结尾的大小。首次采集大小设定值为1024 KB。首次采集时，如果文件小于1024 KB，则从文件内容起始位置开始采集。首次采集时，如果文件大于1024 KB，则从距离文件末尾1024 KB的位置开始采集。您可以通过此处修改首次采集大小，取值范围为0~10485760，单位为KB。
采集黑名单	打开采集黑名单开关后，可进行黑名单配置，即可在采集时忽略指定的目录或文件。支持完整匹配和通配符匹配目录和文件名。其中，通配符只支持星号（）和半角问号（?）。重要如果您在配置文件路径时使用了通配符，但又需要过滤掉其中部分路径，则需在采集黑名单中填写对应的完整路径来保证黑名单配置生效。例如您配置文件路径为`/home/admin/app/log/.log`，但要过滤`/home/admin/app1`目录下的所有子目录，则需选择目录黑名单，配置目录为`/home/admin/app1/`。如果配置为`/home/admin/app1`，黑名单不会生效。匹配黑名单过程存在计算开销，建议黑名单条目数控制在10条内。目录路径不能以正斜线（/）结尾，例如将设置路径为`/home/admin/dir1/`，目录黑名单不会生效。支持按照文件路径黑名单、文件黑名单、目录黑名单设置，详细说明如下：文件路径黑名单选择文件路径黑名单，配置路径为`/home/admin/private.log`，则表示在采集时忽略`/home/admin/`目录下所有以private开头，以.log结尾的文件。选择文件路径黑名单，配置路径为`/home/admin/private/_inner.log`，则表示在采集时忽略`/home/admin/`目录下以private开头的目录内，以_inner.log结尾的文件。例如`/home/admin/private/app_inner.log`文件被忽略，`/home/admin/private/app.log`文件被采集。文件黑名单选择文件黑名单，配置文件名为`app_inner.log`，则表示采集时忽略所有名为`app_inner.log`的文件。目录黑名单选择目录黑名单，配置目录为`/home/admin/dir1`，则表示在采集时忽略`/home/admin/dir1`目录下的所有文件。选择目录黑名单，配置目录为`/home/admin/dir`，则表示在采集时忽略`/home/admin/`目录下所有以dir开头的子目录下的文件。选择目录黑名单，配置目录为`/home/admin/*/dir`，则表示在采集时忽略`/home/admin/`目录下二级目录名为dir的子目录下的所有文件。例如`/home/admin/a/dir`目录下的文件被忽略，`/home/admin/a/b/dir`目录下的文件被采集。
允许文件多次采集	默认情况下，一个日志文件只能匹配一个Logtail配置。如果文件中的日志需要被采集多份，需要打开允许文件多次采集开关。
高级参数	其它可选的与文件输入插件相关的高级功能参数，请参见创建Logtail流水线配置。

3.3 处理配置

日志样例，支持多条日志；添加日志样例可协助您配置日志处理相关参数，降低配置难度，建议添加。
多行模式，如果日志为多行日志，请使用该选项。
- 类型，选择自定义，本示例使用的行首正则表达式为：(\S+)\s-.*
- 切分失败处理方式，选择保留单行。
处理模式
使用正则解析处理插件。对于多行日志，可以打开多行模式开关，然后自动生成正则表达式。

单击正则解析可进入处理插件详细配置页面，需要在此页面配置正则表达式，以及根据提取的value设置key值。

配置说明

参数名称	说明
原始字段	解析日志前，用于存放日志内容的原始字段，默认值为content。
正则表达式	用于匹配日志的正则表达式。当您配置了日志样例时，日志服务支持自动生成和手动输入行首正则表达式。单击自动生成正则表达式，然后在日志样例文本框中，划选需提取的日志内容，单击生成正则，日志服务会根据您划选的内容，生成正则表达式。单击手动输入正则表达式，输入正则表达式。配置完成后，单击验证即可验证您输入的正则表达式是否可以解析、提取目标日志内容。更多信息，请参见如何调试正则表达式。当您未配置日志样例时，需根据实际日志输入正则表达式。
日志提取字段	为提取的日志内容（Value），设置对应的字段名（Key）。
解析失败时保留原始字段	选中解析失败时保留原始字段，则解析失败时，将保留原始字段。
解析成功时保留原始字段	选中解析成功时保留原始字段，则解析成功时，将保留原始字段。
重命名的原始字段	选中解析失败时保留原始字段或解析成功时保留原始字段后，可重命名原始字段名，用于存放原始的日志内容。

处理配置

配置项	说明
日志样例	待采集日志的样例，请务必使用实际场景的日志。日志样例可协助您配置日志处理相关参数，降低配置难度。支持添加多条样例，总长度不超过1500个字符。 `[2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened at TestPrintStackTrace.f(TestPrintStackTrace.java:3) at TestPrintStackTrace.g(TestPrintStackTrace.java:7) at TestPrintStackTrace.main(TestPrintStackTrace.java:16)`
多行模式	多行日志的类型：多行日志是指每条日志分布在连续的多行中，需要从日志内容中区分出每一条日志。自定义：通过行首正则表达式区分每一条日志。多行JSON：每个JSON对象被展开为多行，例如： `{ "name": "John Doe", "age": 30, "address": { "city": "New York", "country": "USA" } }` 切分失败处理方式： `Exception in thread "main" java.lang.NullPointerException at com.example.MyClass.methodA(MyClass.java:12) at com.example.MyClass.methodB(MyClass.java:34) at com.example.MyClass.main(MyClass.java:½0)` 对于以上日志内容，如果日志服务切分失败：丢弃：直接丢弃这段日志。保留单行：将每行日志文本单独保留为一条日志，保留为一共四条日志。
处理模式	处理插件组合，包括原生插件和拓展插件。有关处理插件的更多信息，请参见处理插件概述。重要处理插件的使用限制，请以控制台页面的提示为准。 2.0版本的Logtail：原生处理插件可任意组合。原生处理插件和扩展处理插件可同时使用，但扩展处理插件只能出现在所有的原生处理插件之后。低于2.0版本的Logtail：不支持同时添加原生插件和扩展插件。原生插件仅可用于采集文本日志。使用原生插件时，须符合如下要求：第一个处理插件必须为正则解析插件、分隔符模式解析插件、JSON解析插件、Nginx模式解析插件、Apache模式解析插件或IIS模式解析插件。从第二个处理插件到最后一个处理插件，最多包括1个时间解析处理插件，1个过滤处理插件和多个脱敏处理插件。对于解析失败时保留原始字段和解析成功时保留原始字段参数，只有以下组合有效，其余组合无效。只上传解析成功的日志：解析成功时上传解析后的日志，解析失败时上传原始日志：解析成功时不仅上传解析后的日志，并且追加原始日志字段，解析失败时上传原始日志。例如，原始日志`"content": "{"request_method":"GET", "request_time":"200"}"`解析成功，追加原始字段是在解析后日志的基础上再增加一个字段，字段名为重命名的原始字段（如果不填则默认为原始字段名），字段值为原始日志`{"request_method":"GET", "request_time":"200"}`。

重要

Logtail配置生效时间最长需要3分钟，请耐心等待。

4. 查询分析配置

日志服务默认开启全文索引。您也可以根据采集到的日志，手动创建字段索引，或者单击自动生成索引，日志服务将自动生成字段索引。更多信息，请参见创建索引。

5. 查询日志

单击查询日志，系统将跳转至Logstore查询分析页面。

您需要等待1分钟左右，待索引生效后，才能在原始日志页签中，查看已采集到的日志。查询和分析日志的详细步骤，请参见查询和分析日志。

说明

如果需要查询日志中的所有字段，建议使用全文索引。如果只需查询部分字段、建议使用字段索引，减少索引流量。如果需要对字段进行分析（SELECT语句），必须创建字段索引。

后续步骤

日志的索引类型、配置示例、索引计费等信息，请参见创建索引。
日志的查询语法，请参见查询语法。