Cloud Logging begrenzt die Größe eingehender Logs auf 256 KB und verwirft größere Elemente. Damit Ihre großen Logs in Cloud Logging gespeichert werden können, kann Fleet Engine sie in eine Reihe kleinerer Logs aufteilen.
Cloud Logging kann die folgenden Logs aus Fleet Engine aufteilen:
Jeder geteilte Logeintrag enthält die folgenden Felder:
split.uid: Eine eindeutige Kennung für die Gruppe von Logeinträgen, die aus einem gemeinsamen ursprünglichen Logeintrag aufgeteilt wurden. Der Wert dieses Feldes ist für alle Einträge gleich, die aus dem ursprünglichen Logeintrag aufgeteilt sind.split.index: Die Position dieses Eintrags in der Reihe der aufgeteilten Einträge. Der erste Eintrag des Splits hat den Index0.split.index. Dieser Index wird auch an das FeldLogEntry.insertIdangehängt.split.totalSplits: Die Anzahl der Logeinträge, in die der ursprüngliche Logeintrag aufgeteilt wurde. Der Wert dieses Feldes ist für alle vom ursprünglichen Logeintrag aufgeteilten Einträge gleich.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Um alle Logs zu ermitteln, die von einem bestimmten Log aufgeteilt wurden, verwenden Sie eine Abfrage wie die folgende:
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
Die Struktur dieser aufgeteilten Logs entspricht nahezu der Struktur, die im Leitfaden für Cloud-Audit-Logs gezeigt wird. Der Hauptunterschied besteht darin, dass die Aufteilung bei Fleet Engine-Logs im Feld jsonPayload erfolgt. Weitere Informationen und Beispiele finden Sie unter Geteilte Audit-Logeinträge.
Nächste Schritte
Um Logs nach Ihren Kriterien zu zählen und zu filtern, erstellen Sie logbasierte Messwerte.