使用 vRealize Log Insight 表1-2限定符运算符(续) 正则表达式 描述 恰好<n>次 <n>,m> <n>至<m>次 例如,如果您具有字符串aaaa并应用以下正则表达式 正则表达式结果 aaaaa {1,2} 表1-3组合运算符 正则表达式 任意内容 前面为尽可能短的任意内容 例如,如果您具有字符串ab3 hi d hi并应用以下正则表达式 则表达式结果 b3 hi d *? hi 表1-4逻辑运算符 正则表达式 行首(如果在括号中,则不是) 行尾 封装 一个在括号中的字符 字符串开头 字符串结尾 例如,如果应用以下正则表达式 E则表达式结果 helo)?包含或不包含heo (abc) a或b或
表 1‑2 限定符运算符 (续) 正则表达式 描述 {<n>} 恰好 <n> 次 {<n>,<m>} <n> 至 <m> 次 例如,如果您具有字符串 aaaaa 并应用以下正则表达式 正则表达式 结果 . a * aaaaa .*? aaaaa .{1} a .{1,2} aa 表 1‑3 组合运算符 正则表达式 描述 .* 任意内容 .*? 前面为尽可能短的任意内容 例如,如果您具有字符串 a b 3 hi d hi 并应用以下正则表达式 正则表达式 结果 a.* hi b 3 hi d a .*? hi b 3 表 1‑4 逻辑运算符 正则表达式 描述 ^ 行首(如果在括号中,则不是) $ 行尾 () 封装 [] 一个在括号中的字符 | OR - 范围 \A 字符串开头 \Z 字符串结尾 例如,如果应用以下正则表达式 正则表达式 结果 (hello)? 包含或不包含 hello (a|b|c) a 或 b 或 c 使用 vRealize Log Insight VMware, Inc. 16
使用 vRealize Log Insight 式结果 [] a或b或c或p worlds 以word结尾,后面没有其他内容 表1-5前向运算符 正则表达式 肯定性前向(包含) 否定性前向(不包含) 例如,如果应用以下正则表达式 正则表达式 结果 is(?=w+)w(2) primary FT primary? false opid=(?MWFU-1fecf8f9)\S+ WFU-3c9bb994 表16其他正则表达式示例 正则表达式 描述 xyz (info/ error) nfo、wan或 error [a-z 一个小写字母 1^a-z 不是小写字母 [a-z 一个或多个小写字母 [a-z 零个或多个小写字母 零个或一个小写字母 a]{3} 恰好三个小写字母 一个数字 个或多个数字,后跟消息结尾 05 0到5之间的一个数字 一个单词字符(字母、数字或下划线) 空格 除空格之外的任何字符 一个或多个字母数字字符 (a-z]{2}|09]{35}) 两个或更多个字母,后跟三到五个数字 使用“交互式分析”图表分析日志 通过交互式分析页面顶部的图表,可以对查询结果执行可视化分析 图表表示日志搜索查询的图形快照。您可以使用图表下方的下拉菜单更改图表类型 可以使用左侧的第一个下拉菜单控制图表的聚合级别。默认情况下,计数函数处于选中状态
正则表达式 结果 [a-cp] a 或 b 或 c 或 p world$ 以 world 结尾,后面没有其他内容 表 1‑5 前向运算符 正则表达式 描述 ?= 肯定性前向(包含) ?!= 否定性前向(不包含) 例如,如果应用以下正则表达式 正则表达式 结果 is (?=\w+)\w{2} primary is FT primary? false opid=(?!WFU-1fecf8f9)\S+ WFU-3c9bb994 表 1‑6 其他正则表达式示例 正则表达式 描述 [xyz] x、y 或 z (info|warn|error) info、warn 或 error [a-z] 一个小写字母 [^a-z] 不是小写字母 [a-z]+ 一个或多个小写字母 [a-z]* 零个或多个小写字母 [a-z]? 零个或一个小写字母 [a-z] {3} 恰好三个小写字母 [\d] 一个数字 \d+$ 一个或多个数字,后跟消息结尾 [0-5] 0 到 5 之间的一个数字 \w 一个单词字符(字母、数字或下划线) \s 空格 \S 除空格之外的任何字符 [a-zA-Z0-9]+ 一个或多个字母数字字符 ([a-z] {2,} [0-9] {3,5}) 两个或更多个字母,后跟三到五个数字 使用“交互式分析”图表分析日志 通过交互式分析页面顶部的图表,可以对查询结果执行可视化分析。 图表表示日志搜索查询的图形快照。您可以使用图表下方的下拉菜单更改图表类型。 可以使用左侧的第一个下拉菜单控制图表的聚合级别。默认情况下,计数函数处于选中状态。 使用 vRealize Log Insight VMware, Inc. 17
使用 vRealize Log Insight 图表类型 可以选择不同的图表类型,以更改在“交互式分析”页面上可视化数据的方式 不同的图表类型需要不同的聚合函数、使用时间序列以及分组依据字段。图表显示仅限于2,000个最新的结 图表类型聚合函数 时间序列要求分组依据字段要求 时间序列 不可用 任意 时间序列不可用 任意 时间序列 不可用 条形图任意 非时间序列至少一个字段 图计数或唯一计数非时间序列至少一个字段 气泡图任意 非时间序列两个字段 仪表图计数 非时间序列不可用 标量图计数 非时间序列不可用 任意 任意 不可用 多功能图表 可以使用多功能图表比较刻度不同的变量。 过多功能图表,可以为每个系列分配一个Y轴;如果要比较不同类别的数据集,则可以分配一个Ⅹ轴。 可以将每个轴放置在图表的右侧或左侧。可以交换函数,以交换相应Y轴(在此轴上,从右向左绘制函数图 表)。 例如,除了可以对按通道和级别分组的任务平均计数绘制图表外,还可以对按通道和级别分组的事件计数绘 制图表。 聚合函数 rEalize Log Insight提供了多个聚合函数。 计数 仅事件 创建针对特定查询的事件数目图表 唯一计数任何字 创建字段的唯一值数目图表 最低 仅数字字段创建字段的最小值图表 最大值仅数字字段创建字段的最 数字字段创建字段的平 标准差仅数字字段创建字段值的标准偏差图表 仅数字字段创建字段的值总和图表 方差 仅数字字段创建字段值的方差图表
图表类型 可以选择不同的图表类型,以更改在“交互式分析”页面上可视化数据的方式。 不同的图表类型需要不同的聚合函数、使用时间序列以及分组依据字段。图表显示仅限于 2,000 个最新的结 果。 图表类型 聚合函数 时间序列要求 分组依据字段要求 列 任意 时间序列 不可用 行 任意 时间序列 不可用 区域 任意 时间序列 不可用 条形图 任意 非时间序列 至少一个字段 饼图 计数或唯一计数 非时间序列 至少一个字段 气泡图 任意 非时间序列 两个字段 仪表图 计数 非时间序列 不可用 标量图 计数 非时间序列 不可用 表格 任意 任意 不可用 多功能图表 可以使用多功能图表比较刻度不同的变量。 通过多功能图表,可以为每个系列分配一个 Y 轴;如果要比较不同类别的数据集,则可以分配一个 X 轴。 可以将每个轴放置在图表的右侧或左侧。可以交换函数,以交换相应 Y 轴(在此轴上,从右向左绘制函数图 表)。 例如,除了可以对按通道和级别分组的任务平均计数绘制图表外,还可以对按通道和级别分组的事件计数绘 制图表。 聚合函数 vRealize Log Insight 提供了多个聚合函数。 类型 字段 描述 计数 仅事件 创建针对特定查询的事件数目图表。 唯一计数 任何字段 创建字段的唯一值数目图表。 最低 仅数字字段 创建字段的最小值图表。 最大值 仅数字字段 创建字段的最大值图表。 平均值 仅数字字段 创建字段的平均值图表。 标准差 仅数字字段 创建字段值的标准偏差图表。 总和 仅数字字段 创建字段的值总和图表。 方差 仅数字字段 创建字段值的方差图表。 使用 vRealize Log Insight VMware, Inc. 18
使用 vRealize Log Insight 您可以修改查看查询结果的方式。 查看 按特定字段值对查询结果分组 使用图表下方的第二个下拉菜单按特定字段值而不是时间序列(或 者按特定字段值以及时间序列)对查询结果进行分组。 查看字段的事件数 例如,每一主机的事件数,取消选中“时间序列”复选框,然后 选中相应字段的复选框 查看按时间分组的字段堆栈条形图 选中“时间序列”复选框并选中相应字段的复选框 使用图表 可以在交互式分析选项卡上更改图表的外观,向自定义仪表板中添加图表,并管理仪表板图表 任务 更改图表的时间范围 主交互式分析选项卡上,使用搜索按钮左侧的下拉菜单切换图表上显示的时间段。 更改图表的粒度 交互式分析选项卡上,使用右上角的按钮在图表上表示的每个点所对应的不同时间范围之间进行切换。 可用范围取决于为查询指定的时间范围 在交互式分析选项卡上在仪表板选项卡上,找到图表并单击在交互式分析中打开图标Q。 加载仪表板图表 时间范围设置为仪表板的当前时间范围。如果需要,可以修改时间范围 将图表保存到自定义仪1在交互式分析选项卡的左上角,单击添加到仪表板。或者,从搜掌按钮右侧的菜单中,选择将当前查 询添加到仪表板 2键入名称,从下拉菜单中选择目标仪表板,选择小组件类型,添加有关小组件的信息,然后单击添加。 将查询以图表形式保存1单击搜索按钮旁边的将当前查询添加到仪表板。 到自定义仪表板 2键入名称,从下拉菜单中选择目标仪表板,确保小组件类型设置为图表,添加有关小组件的信息,然 后单击添加 将查询以字段表形式保1单击搜索按钮旁边的将当前查询添加到仪表板 存到自定义仪表板 2键入名称,从下拉菜单中选择目标仪表板,确保小组件类型设置为字段丧,添加有关小组件的信息 然后单击添加 从自定义仪表板中删除1在仪表板选项卡上,选择包含要删除的小组件的自定义仪表板 小组件 2在小组件右上角.单击其他操作图标,然后选择删除。 3在“删除小组件”对话框中,单击删除以进行确认 更改“交互式分析”图表的类型 可以更改图表中所显示查询结果的聚合和分组,以便以图形方式分析日志事件。 可以在图表下方看到的下拉菜单的数目取决于选定的聚合函数。 前提条件 验证是否已登录到rEalizeLogInsightWeb用户界面。URL格式为https:/lg_insight-host,其中 g insight-host是 rEalize Log Insight虚拟设备的P地址或主机名
您可以修改查看查询结果的方式。 查看 描述 按特定字段值对查询结果分组 使用图表下方的第二个下拉菜单按特定字段值而不是时间序列(或 者按特定字段值以及时间序列)对查询结果进行分组。 查看字段的事件数 例如,每一主机的事件数,取消选中“时间序列”复选框,然后 选中相应字段的复选框。 查看按时间分组的字段堆栈条形图 选中“时间序列”复选框并选中相应字段的复选框。 使用图表 可以在交互式分析选项卡上更改图表的外观,向自定义仪表板中添加图表,并管理仪表板图表。 任务 步骤 更改图表的时间范围 在交互式分析选项卡上,使用搜索按钮左侧的下拉菜单切换图表上显示的时间段。 更改图表的粒度 在交互式分析选项卡上,使用右上角的按钮在图表上表示的每个点所对应的不同时间范围之间进行切换。 可用范围取决于为查询指定的时间范围。 在交互式分析选项卡上 加载仪表板图表 在仪表板选项卡上,找到图表并单击在交互式分析中打开图标 。 时间范围设置为仪表板的当前时间范围。如果需要,可以修改时间范围。 将图表保存到自定义仪 表板 1 在交互式分析选项卡的左上角,单击添加到仪表板。或者,从搜索按钮右侧的菜单中,选择将当前查 询添加到仪表板。 2 键入名称,从下拉菜单中选择目标仪表板,选择小组件类型,添加有关小组件的信息,然后单击添加。 将查询以图表形式保存 到自定义仪表板 1 单击搜索按钮旁边的将当前查询添加到仪表板。 2 键入名称,从下拉菜单中选择目标仪表板,确保小组件类型设置为图表,添加有关小组件的信息,然 后单击添加。 将查询以字段表形式保 存到自定义仪表板 1 单击搜索按钮旁边的将当前查询添加到仪表板。 2 键入名称,从下拉菜单中选择目标仪表板,确保小组件类型设置为字段表,添加有关小组件的信息, 然后单击添加。 从自定义仪表板中删除 小组件 1 在仪表板选项卡上,选择包含要删除的小组件的自定义仪表板。 2 在小组件右上角,单击其他操作图标 ,然后选择删除。 3 在“删除小组件”对话框中,单击删除以进行确认。 更改“交互式分析”图表的类型 可以更改图表中所显示查询结果的聚合和分组,以便以图形方式分析日志事件。 可以在图表下方看到的下拉菜单的数目取决于选定的聚合函数。 前提条件 验证是否已登录到 vRealize Log Insight Web 用户界面。URL 格式为 https://log_insight-host,其中 log_insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。 使用 vRealize Log Insight VMware, Inc. 19
使用 vRealize Log Insight 步骤 1使用“交互式分析”图表下的下拉菜单以更改聚合函数和分组类型。 要查看一段时间内事件的数目,请选择时间序列按钮 ■要仅查看事件值,请选择非时间序列按钮,然后至少选择一个字段。 2单击更新。 示例:“交互式分析”图表中的聚合和分组 下表包含的示例说明了 rEalize Log Insight图表中的聚合和分组。 表1-7“交互式分析”图表中的聚合和分组示例 第一个下拉菜单中的 匚二个下拉菜单中的选择时间序列选择 结果 计数 时间序列 时间序列 一段时间内事件的计数 该图表显示了有关一 段时间内针对当前查 询的事件数量的条形 vmw_ op latency(VMware·时间序列 一段时间内 该图表显示了有关一 段时间内操作延迟平 Mware- vSphere)的平均值的线图 均值 计数 vmw_esx_ problem 非时间序列 按wmw_ esx_ problem分该图表显示了有关包 注意默认情况下,不会显示 组的事件的计数 含 vmw_ esx_ problem字段。必 字段的事件数目的条 须提取 vmw esx problem字 段并保存查询,以便在下拉菜 单中显示 vmw_esx problem。 vmw_esx_ probl vmw esx problem分组的间内按 事件的认数 vmw_esx_ problem 动态字段提取 在具有许多日志事件的大型环境中,无法始终找到对您来说非常重要的数据字段
步骤 1 使用“交互式分析”图表下的下拉菜单以更改聚合函数和分组类型。 n 要查看一段时间内事件的数目,请选择时间序列按钮。 n 要仅查看事件值,请选择非时间序列按钮,然后至少选择一个字段。 2 单击更新。 示例:“交互式分析”图表中的聚合和分组 下表包含的示例说明了 vRealize Log Insight 图表中的聚合和分组。 表 1‑7 “交互式分析”图表中的聚合和分组示例 第一个下拉菜单中的 选择 第二个下拉菜单中的选择 时间序列选择 屏幕上显示的文本 结果 计数 时间序列 时间序列 一段时间内事件的计数 该图表显示了有关一 段时间内针对当前查 询的事件数量的条形 图。 平均值 vmw_op_latency (VMware - vSphere) 时间序列 一段时间内 vmw_op_latency (VMware - vSphere) 的平 均值 该图表显示了有关一 段时间内操作延迟平 均值的线图。 计数 vmw_esx_problem 注意 默认情况下,不会显示 vmw_esx_problem 字段。必 须提取 vmw_esx_problem 字 段并保存查询,以便在下拉菜 单中显示 vmw_esx_problem。 非时间序列 按 vmw_esx_problem 分 组的事件的计数 该图表显示了有关包 含 vmw_esx_problem 字段的事件数目的条 形图。 计数 时间序列、 vmw_esx_problem 时间序列 一段时间内按 vmw_esx_problem 分组的 事件的计数 该图表显示了一段时 间内按 vmw_esx_problem 分组的堆栈条形图。 动态字段提取 在具有许多日志事件的大型环境中,无法始终找到对您来说非常重要的数据字段。 使用 vRealize Log Insight VMware, Inc. 20