新建转发规则¶
前提条件¶
仅限商业版。
开始新建¶
进入数据转发 > 转发规则 > 新建规则页面。
数据转发规则创建完成后,系统将每 5 分钟执行一次规则校验。
1、输入规则名称¶
即当前数据转发规则的名称。
- 包含扩展字段:默认仅转发符合条件日志的
message字段内容。若勾选 “包含扩展字段”,则符合条件的整条日志数据都会被转发。应用性能和用户访问数据默认转发整条数据,不受此选项影响。
注意
创建多个数据转发规则时,优先匹配勾选包含扩展字段的规则。若不同规则命中同一条数据,则优先按包含扩展字段的逻辑展示整条日志数据。
2、定义过滤条件¶
-
数据源:包含日志、应用性能、用户访问、事件、审计事件。
-
过滤条件:支持自定义条件间的运算逻辑;可添加多条。
-
所有条件:仅匹配所有过滤条件都满足的日志数据才会被保存到数据转发;
-
任意条件:任意一个过滤条件满足即可被保存到数据转发。
-
条件运算符见下表:
| 条件运算符 | 匹配类型 |
|---|---|
| in、not in | 精确匹配,支持多值(逗号隔开) |
| match、not match | 模糊匹配,支持输入正则语法 |
若此处不添加过滤条件,即表示保存全部数据。
Pipeline 处理转发数据
中心 Pipeline 脚本会影响转发条件过滤和最终内容。创建脚本时,可勾选“启用 Pipeline 处理转发数据”:勾选后,数据先经脚本处理再过滤转存;不勾选则直接转发原始数据。
3、选择存档类型¶
为提供更加全面的数据转发存储方式,系统支持以下存储路径。
观测云:匹配到的日志数据将被保存到观测云侧的 OSS、S3、OBS 对象存储中。
注意
-
以上存档类型全站点开放;
-
当选择数据转发存储对象为观测云,日志数据最低存储默认为 180 天,且规则一旦创建无法取消,存储期间会每天收取费用;您可以前往管理 > 空间设置 > 变更数据存储策略进行修改。
存储格式¶
按需选择数据存储格式:
-
JSON:文本格式,默认存储类型,便于查看和即时使用;
-
Parquet:列式存储格式,转发出去的数据不支持在观测云中回看。
注意
- 数据转发至观测云时,仅支持选择 JSON 存储格式。
加密存储¶
开启加密存储后,系统会针对转发出的数据做对称加密。后续若您需要查询或查看这些数据,系统能够将加密后的数据还原为原始内容进行展示。
4、定义数据查看权限¶
为转发的数据设置查看权限,从而提高数据安全性。
工作空间的所有成员均可查看转发数据。
指定可以查看转发数据的成员角色。