Cloud Logging ограничивает размер входящих журналов до 256 КБ и удаляет все, что больше. Чтобы обеспечить сохранение больших журналов Cloud Logging, Fleet Engine может разделить их на несколько журналов меньшего размера.
Облачное ведение журналов может отделить следующие журналы от Fleet Engine:
Каждая запись разделенного журнала содержит следующие поля:
-
split.uid: уникальный идентификатор группы записей журнала, которые были отделены от общей исходной записи журнала. Значение этого поля одинаково для всех записей, отделенных от исходной записи журнала. -
split.index: позиция этой записи в серии разделенных записей. Первая запись разделения имеет индекс0.split.index. Этот индекс также добавляется к полюLogEntry.insertId. -
split.totalSplits: количество записей журнала, на которые была разделена исходная запись журнала. Значение этого поля одинаково для всех записей, отделенных от исходной записи журнала.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Чтобы найти все журналы, которые были отделены от одного конкретного журнала, используйте такой запрос:
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
Структура этих разделенных журналов почти такая же, как структура, показанная в руководстве по журналам облачного аудита. Основное отличие состоит в том, что для журналов Fleet Engine разделение происходит в поле jsonPayload . Подробные сведения и примеры см. в разделе Разделение записей журнала аудита .
Что дальше
Чтобы подсчитывать и фильтровать журналы по вашим критериям, создайте метрики на основе журналов .