Cloud Logging begrenzt die Größe eingehender Logs auf 256 KB und verwirft größere Logs. Damit Ihre großen Logs in Cloud Logging gespeichert werden können, kann Fleet Engine sie in eine Reihe kleinerer Logs aufteilen.
Bei der Cloud-Protokollierung werden die folgenden Logs aus der Fleet Engine möglicherweise aufgeteilt:
Jeder geteilte Logeintrag enthält die folgenden Felder:
split.uid: Eine eindeutige Kennung für die Gruppe von Logeinträgen, die aus einem gemeinsamen ursprünglichen Logeintrag aufgeteilt wurden. Der Wert dieses Felds ist für alle Einträge identisch, die aus dem ursprünglichen Logeintrag aufgeteilt wurden.split.index: Die Position dieses Eintrags in der Reihe der aufgeteilten Einträge. Der erste Eintrag aus der Aufteilung hat den Index0.split.index. Dieser Index wird auch an das FeldLogEntry.insertIdangehängt.split.totalSplits: Die Anzahl der Logeinträge, in die der ursprüngliche Logeintrag aufgeteilt wurde. Der Wert dieses Felds ist für alle Einträge identisch, die aus dem ursprünglichen Logeintrag stammen.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Wenn Sie alle Logs finden möchten, die aus einem bestimmten Log getrennt wurden, verwenden Sie eine Abfrage wie diese:
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
Die Struktur dieser geteilten Logs entspricht fast der Struktur, die in der Anleitung für Cloud-Audit-Logs dargestellt ist. Der Hauptunterschied besteht darin, dass bei Fleet Engine-Protokollen die Aufteilung im Feld jsonPayload erfolgt. Weitere Informationen und Beispiele finden Sie unter Geteilte Audit-Logeinträge.
Nächste Schritte
Wenn Sie Protokolle nach Ihren Kriterien zählen und filtern möchten, erstellen Sie logbasierte Messwerte.