Analyseurs et entrées de journal
Utilisez les configurations d'agent pour sélectionner les types de journal à inclure et la procédure d'analyse.
Vous pouvez configurer un analyseur lorsque vous créez un journal personnalisé et que vous configurez la configuration d'agent (dans le panneau Créer un journal personnalisé, à l'étape 2 Créer une configuration d'agent, reportez-vous à la section Configuration d'agent, Configurer les entrées de journal et cliquez sur Options d'analyseur avancées).
Les entrées de journal prises en charge dans les configurations d'agent sont les suivantes :
- Journaux d'événements Windows
- Répertoire de journaux (affichage des détails)
Important
Les champs de données de journal ne peuvent pas comporter plus de 10 000 caractères. Si les données dépassent cette limite, le champ est tronqué pendant l'ingestion. Pour plus d'informations, reportez-vous à Limites de Logging.
Les champs de données de journal ne peuvent pas comporter plus de 10 000 caractères. Si les données dépassent cette limite, le champ est tronqué pendant l'ingestion. Pour plus d'informations, reportez-vous à Limites de Logging.
Pour les entrées Répertoire de journaux, vous pouvez indiquer des analyseurs afin de structurer vos journaux. Voici la liste des analyseurs pris en charge :
- Aucun
- Auditd (https://github.com/linux-audit/audit-documentation/wiki)
- CRI (https://github.com/fluent/fluent-plugin-parser-cri)
- JSON (https://docs.fluentd.org/parser/json)
- CSV (https://docs.fluentd.org/parser/csv)
- TSV (https://docs.fluentd.org/parser/tsv)
- Syslog (https://docs.fluentd.org/parser/syslog)
- Apache2 (https://docs.fluentd.org/parser/apache2)
- Apache_Error (https://docs.fluentd.org/parser/apache_error)
- Msgpack (https://docs.fluentd.org/parser/msgpack)
- Regexp (https://docs.fluentd.org/parser/regexp)
- Multiline (https://docs.fluentd.org/parser/multiline)