CDN加速

通用问题

更新时间:2020-07-01 19:06:25

通用问题

1.告警未处理,告警信息是否会持续发送?
设置报警规则时可以通过设置通道沉默时间来实现间隔一段时间重新发送告警信息。例如沉默时间设置成6h,第一次发出告警信息后将不再重复发出告警信息,直到6小时后才会重新发出告警信息。如告警一直未处理,将会每隔6小时发出一次告警信息。

2.修改索引类型后,通过该索引查询不到日志内容?
索引被修改或者删除之后,只能查询新索引生效之后的数据,不能查索引修改之前的日志数据。

3.支持通配符采集日志文件(路径和文件名都支持通配符)。
通配符含义如下:

通配符 含义
任何一个单一的字符
* 任意长度的字符
\d 0~9之间的单一数字
[字符列表] 在字符列表里的任一值
[^字符列表] 不在字符列表里的任一值
[a-z] 指定字符范围,两边的值分别为其上下限

4.查询不到日志内容的原因有哪些,如何排查?
查询不到日志内容的原因有很多种,常见的排查方法有:

  • 查看对应日志组的采集配置,查看agent状态是否为“已停止”、“故障”等状态。是则不会采集对应目录的日志。
    最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生

  • 新建日志采集进行“日志源配置”时,用户输入日志路径时,需要确认该日志路径下需要已经存在对应的日志文件,否则采集点在校验采集配置路径时,可能因为该路径没有存在日志文件而没有注册这个采集配置,导致该目录的日志文件不被采集。即不能出现先配置日志路径后移入日志文件的情况。

  • 返回日志仓库列表的界面,查看下是否有“达量停止采集”的提醒:“尊敬的用户,您好:日志服务的“每月日志存储空间”已达到2160.55GB,日志存储空间上限为2000GB。其中,“每月日志存储空间”已达到阈值的108.03%,建议升级新套餐,避免影响使用(当使用量达到100%时仍未升级套餐,则不采集新日志)”。
    最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生

5.在机器组管理中移除采集配置,再重新添加回去。采集会如何处理?
在机器组管理中把已生效的采集配置移除,之后再重新添加原来的采集配置。采集点(lmsagent)会将重新添加的采集配置做新的采集配置处理,即会根据新采集配置,重新从头开始采集原日志文件的内容。

6.登录日志服务,进入日志仓库管理页面,但却没有任何可以操作的按钮,不能创建日志仓库?
登录日志服务,进入日志仓库管理页面,但却没有任何可以操作的按钮,不能创建日志仓库。如下图所示:
最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生
核对当前登录的账号是父账号还是子账号。日志服务,只允许父账号才能创建日志仓库,子账号不能创建日志仓库。在父账号未创建日志仓库的时候,子账号就登录日志服务时,就会出现上述问题。

7.本地日志文件上传。

  • 限制上传的日志文件大小,不超过100M。
  • 本地日志文件上传,需要采用单独的日志组,新建采集配置,并且完成采集配置的3个步骤,才真正开始日志采集,才能完成日志分析。
  • 采集配置的3个步骤:1.日志类型设置;2.日志源设置;3.日志索引设置。

8.报警和沉默通道的使用。
在设置报警规则时,有“查询间隔”、“连续触发次数”、“通道沉默时间”这三个概念,如下图所示。
最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生

“查询间隔”、“连续触发次数”、“通道沉默时间”这三者的含义及使用如下:

  • 查询间隔、连续触发次数
    样例:查询间隔:5分钟、连续触发次数:3次
    说明:每隔5分钟,日志服务查询一次指定日志组的日志内容,符合触发条件则记录1次,当连续触发3次(即总共15分钟内,每5分钟查询1次,查询3次),则触发告警。

  • 查询间隔、通道沉默时间
    样例1:告警间隔:3分钟;沉默通道:5分钟
    最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生
    说明:
    第一次符合触发条件,触发告警;
    第二次符合触发条件,但告警时间在沉默通道时间内,则记录沉默,不告警通知;
    第三次符合触发条件,但告警时间已经在沉默通道时间之外,则触发告警。

    样例2:告警间隔:3分钟;沉默通道:10分钟
    最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生 最新安全报告:日均抵御28.42亿次攻击 智能攻击正在发生
    说明:
    第一次符合触发条件,触发告警;
    第二次符合触发条件,但告警时间在沉默通道时间内,第一次则记录沉默,不告警通知;
    第三次符合触发条件,但告警时间在沉默通道时间内,第二次~第N次则不记录沉默,不告警通知;
    第N+1次符合触发条件,但告警时间在沉默通道时间之外,则触发告警通知。

    样例3:告警间隔:3分钟;沉默通道:1分钟。沉默时间小于告警间隔,沉默通道失去意义。

    其中:
    “A:告警”,需要做的内容:1,告警;2,记录告警历史,状态:报警发生;3,通知联系人4,进入沉默通道的计时。
    “C:记录沉默”,需要做的内容:1,沉默;2,记录告警历史,状态:通道沉默;3,不通知联系人。
    “D:NULL”,需要做的内容:1,不写告警历史;2,不通知联系人。
    9.日志查询错误提示。

  • 语法错误,常见包含以下几种
    - *| select 只输入select
    - 关键字输入错误 譬如 group 没有by
    - group by 字段未在 select 中体现

  • 字段不存在

  • 字段与索引不匹配