Entrées de journal et analyseurs
Utilisez les configurations d'agent pour sélectionner les types de journaux à ingérer et comment les analyser.
Vous pouvez configurer un analyseur lorsque vous créez un journal personnalisé et que vous configurez la configuration d'agent (dans le panneau Créer un journal personnalisé, Créer une configuration d'agent à l'étape 2, voir sous Configuration d'agent, Configurer les entrées de journal, puis cliquez sur Options d'analyseur avancé).
Les entrées de journal prises en charge dans les configurations d'agent sont les suivantes :
- journaux d'événements Windows
- Répertoire de journaux (Détails)
Important
Tout champ de données de journal ne peut pas comporter plus de 10 000 caractères. Si les données dépassent cette limite, le champ est tronqué lors de l'ingestion. Pour plus d'informations, voir Limites du service de journalisation.
Tout champ de données de journal ne peut pas comporter plus de 10 000 caractères. Si les données dépassent cette limite, le champ est tronqué lors de l'ingestion. Pour plus d'informations, voir Limites du service de journalisation.
Pour les entrées du répertoire de journaux, vous pouvez spécifier des analyseurs pour structurer les journaux. Voici la liste des analyseurs pris en charge :
- Aucun
- Auditd (https://github.com/linux-audit/audit-documentation/wiki)
- CRI (https://github.com/fluent/fluent-plugin-parser-cri)
- JSON (https://docs.fluentd.org/parser/json)
- CSV (https://docs.fluentd.org/parser/csv)
- TSV (https://docs.fluentd.org/parser/tsv)
- Syslog (https://docs.fluentd.org/parser/syslog)
- Apache2 (https://docs.fluentd.org/parser/apache2)
- Apache_Error (https://docs.fluentd.org/parser/apache_error)
- Msgpack (https://docs.fluentd.org/parser/msgpack)
- Regexp (https://docs.fluentd.org/parser/regexp)
- Multiline (https://docs.fluentd.org/parser/multiline)