分类日志条目
Elastic Stack
应用程序日志事件通常是非结构化的,并且包含可变数据。许多日志消息是相同或非常相似的,因此对它们进行分类可以将数百万行日志减少到几个类别。
通过 类别 页面,您可以快速识别日志事件中的模式。日志分类视图不是手动识别相似的日志,而是列出了根据消息和格式分组的日志事件,以便您可以更快地采取措施。
注意
此功能使用机器学习异常检测作业。要设置作业,您必须拥有 机器学习 的 all Kibana 功能权限。在 Kibana 空间内对机器学习功能具有完全或只读访问权限的用户可以查看该空间中可见的所有异常检测作业的结果,即使他们无权访问这些作业的源索引。您必须仔细考虑授予谁访问机器学习功能的权限;异常检测作业结果可能会将包含敏感信息的字段值从源索引传播到结果。有关更多详细信息,请参阅设置机器学习功能。
创建一个机器学习作业来自动分类日志消息。 机器学习观察消息的静态部分,对相似消息进行聚类,将它们分类为消息类别,并检测类别中异常高的消息计数。
- 通过在全局搜索字段中查找
Logs / Categories来打开 类别 页面。 系统会提示您使用机器学习来创建日志速率分类。 - 选择机器学习分析的时间范围。 默认情况下,机器学习作业分析不超过四周的日志消息,并无限期地继续。
- 添加包含您要检查的日志的索引。 默认情况下,机器学习会分析与 日志源 高级设置中设置的模式匹配的所有日志索引中的消息。 要打开 高级设置,请在主菜单中找到 堆栈管理 或使用全局搜索字段。
- 点击 创建 ML 作业。 作业已创建并开始运行。 机器学习机器人需要几分钟才能收集必要的数据。 作业处理完数据后,您可以查看结果。
类别 页面列出了所选索引中的所有日志类别。 您可以按索引过滤类别。 下面的屏幕截图显示了来自 elastic.agent 日志的类别。
类别行包含以下信息
- 消息计数:显示属于给定类别的消息数。
- 趋势:指示消息的出现次数随时间的变化。
- 类别名称:它是类别的名称,来自消息文本。
- 数据集:类别所在的数据集的名称。
- 最大异常分数:类别中的最高异常分数。
要查看特定类别下的日志消息,请点击行尾的箭头。 要进一步检查消息,可以在 Stream 页面上的相应日志事件中查看,或在其上下文中显示。
有关分类的更多信息,请访问检测异常数据类别。