您可以在 vRealize Log Insight Linux 代理程式上依照其欄位值篩選所有收集的記錄事件,以指定要選取或捨棄的記錄事件。您可以使用 whitelist 和 blacklist 收集器選項來定義篩選器。
提示: 依預設,
vRealize Log Insight Linux 代理程式會收集程式或編輯器建立的隱藏檔案。隱藏檔案的名稱以句點開頭。您可阻止
vRealize Log Insight Linux 代理程式收集隱藏檔案,方式是新增排除
exclude=* 參數。
針對每個記錄事件,收集器會評估 whitelist 和 blacklist 篩選器運算式。如果 whitelist 運算式評估為 true,且 blacklist 運算式評估為 false 或無法評估,則會將事件移至佇列進行進一步處理。在任何其他情況下,收集器會捨棄該事件。whitelist 運算式的預設值為 true,且 blacklist 運算式的預設值為 false。
whitelist 或 blacklist 篩選器是評估為單一邏輯或整數值的一組變數、常值與運算子。您可以使用記錄事件欄位做為變數,以及雙引號的字串和數字做為常值。如需您可以在篩選器運算式內使用的運算子相關資訊,請參閱 事件欄位和運算子。
備註:
-
如果您將數字與字串比較,或如果比較牽涉到數值字串,則會將每個字串轉換為數字,並且以數值形式執行比較。例如:
- 運算式
whitelist = 123.0 == "000123"會評估為 true。 - 運算式
whitelist = "00987" == "987.00"會評估為 true。 - 在運算式
whitelist = response_size >= "12.12"中,如果response_size欄位有數值,則以數值形式評估運算式。如果回應大小大於 12.12,則運算式為 true,否則為 false。 - 在運算式
whitelist = "09123" < "234"中,字串常值會轉換為數值並且運算式會評估為 false。
- 運算式
-
如果其中一個字串運算元無法轉換為數值,則會將這兩個運算元轉換為字串。執行簡易的區分大小寫字典式比較。例如:
- 運算式
whitelist = "1234a" == "1234A"是評估為 false 的字串比較。 - 運算式
whitelist = 4 < "four"會將 4 轉換為「4」,並評估為 true。 - 在運算式
whitelist = response_size > "thousand"中,response_size欄位的值會轉換為字串值,它會將運算式評估為 false。
- 運算式
-
如果篩選器運算式評估為整數值,則如果它是 0,會被視為 false,否則為 true。
例如,如果
some_integer欄位已設定最低有效位元集,則運算式whitelist = some_integer & 1會評估為 true,否則為 false。
如需記錄事件欄位和運算子的完整清單,請參閱從記錄檔收集記錄事件。
在此範例中,您必須從檔案
/var/log/httpd/access 收集 Apache 存取記錄。來自該檔案的部分範例記錄為:
127.0.0.1 - frank [10/Oct/2016:13:55:36 +0400] "GET /apache_pb.gif HTTP/1.0" 200 2326198.51.100.56 - john [10/Oct/2016:14:15:31 +0400] "GET /some.gif HTTP/1.0" 200 8270198.51.100.12 - smith [10/Oct/2016:14:15:31 +0400] "GET /another.gif HTTP/1.0" 303 348198.51.100.32 - test [10/Oct/2016:15:22:55 +0400] "GET /experimental_page.gif HTTP/1.0" 400 46374127.0.0.1 - test [10/Oct/2016:15:22:57 +0400] "GET /experimental_page2.gif HTTP/1.0" 301 100
必要條件
- 以根使用者身分登入,或使用 sudo 執行主控台命令。
- 登入安裝有 vRealize Log Insight Linux 代理程式的 Linux 機器,開啟主控台並執行 pgrep liagent,以確認 vRealize Log Insight Linux 代理程式已安裝且正在執行。