日志条目分类
编辑日志条目分类编辑
应用程序日志事件通常是非结构化的,包含可变数据。许多日志消息相同或非常相似,因此对它们进行分类可以将数百万行日志缩减为少数几个类别。
在 Logs 应用程序中,类别 页面使您能够快速识别日志事件中的模式。与手动识别类似日志不同,日志分类视图列出了根据其消息和格式分组的日志事件,以便您可以更快地采取行动。
此功能利用机器学习异常检测作业。要设置作业,您必须拥有 all Kibana 功能权限,用于 机器学习。拥有 Kibana 空间中机器学习功能的完全访问权限或只读访问权限的用户可以查看该空间中可见的所有异常检测作业的结果,即使他们没有访问这些作业的源索引的权限。您必须仔细考虑谁被授予机器学习功能的访问权限;异常检测作业结果可能会将包含源索引中敏感信息的字段值传播到结果中。有关更多详细信息,请参阅 设置机器学习功能。
创建日志类别编辑
创建机器学习作业以自动对日志消息进行分类。机器学习观察消息的静态部分,将类似的消息聚类,将它们分类为消息类别,并检测类别中异常高的消息计数。
- 选择 类别,系统会提示您使用机器学习创建日志速率分类。
- 为机器学习分析选择一个时间范围。默认情况下,机器学习作业分析不早于四周的日志消息,并无限期地继续下去。
- 添加包含要检查的日志的索引。
- 单击 创建 ML 作业。作业已创建,并开始运行。机器学习机器人需要几分钟才能收集必要的数据。作业处理完数据后,您可以查看结果。
分析日志类别编辑
类别 页面列出了从所选索引中获得的所有日志类别。您可以按索引筛选类别。下面的屏幕截图显示了来自 elastic.agent 日志的类别。
类别行包含以下信息
- 消息计数:显示属于给定类别的消息数量。
- 趋势:指示消息发生情况随时间的变化。
- 类别名称:它是类别的名称,源自消息文本。
- 数据集:类别存在的 dataset 的名称。
- 最大异常分数:类别中最高的异常分数。
要查看特定类别下的日志消息,请单击行末尾的箭头。要进一步检查消息,可以在 流 页面上的相应日志事件中查看它,或在上下文中显示它。
有关分类的更多信息,请转至 检测异常数据类别。