Lange Logeinträge mit aufgeteilten Logs verarbeiten

Cloud Logging begrenzt die Größe eingehender Logs auf 256 KB und verwirft größere Logs. Damit Ihre großen Logs in Cloud Logging gespeichert werden können, kann Fleet Engine sie in eine Reihe kleinerer Logs aufteilen.

Cloud Logging kann die folgenden Logs aus Fleet Engine aufteilen:

Jeder geteilte Logeintrag enthält die folgenden Felder:

  • split.uid: Eine eindeutige Kennung für die Gruppe der Logeinträge, die von einem gemeinsamen ursprünglichen Log-Eintrag. Der Wert dieses Feldes ist für alle Einträge, die aus dem ursprünglichen Logeintrag aufgeteilt sind.
  • split.index: Die Position dieses Eintrags in der Reihe der aufgeteilten Einträge. Der erste Eintrag des Splits hat den Index 0.split.index. Dieser Index wird auch an das Feld LogEntry.insertId angehängt.
  • split.totalSplits: Anzahl der Logeinträge im ursprünglichen Logeintrag in die aufgeteilt wurde. Der Wert dieses Felds ist für alle aufgeteilten Einträge gleich aus dem ursprünglichen Logeintrag.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}

splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}

Um alle Logs zu ermitteln, die von einem bestimmten Log aufgeteilt wurden, verwenden Sie eine Abfrage wie die folgende:

    split.uid="789+2022-02-22T12:22:22.22+05:00"
    sortby split.index OR sortby insertID

Die Struktur dieser aufgeteilten Logs entspricht nahezu der Struktur in die Anleitung für Cloud-Audit-Logs. Der Hauptunterschied besteht darin, Logs, erfolgt die Aufteilung im Feld jsonPayload. Weitere Informationen und Beispiele finden Sie unter Geteilte Audit-Logeinträge.

Nächste Schritte

Um Logs nach Ihren Kriterien zu zählen und zu filtern, erstellen Sie log-basierte Messwerte.