Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Log-Transformatoren erstellen und verwalten
Ein Protokolltransformator umfasst einen oder mehrere Prozessoren, die sich in einer logischen Pipeline befinden. Jeder Prozessor wird nacheinander in der Reihenfolge, in der er in der Transformer-Konfiguration aufgeführt ist, auf ein Protokollereignis angewendet.
Einige Prozessoren sind vom Typ Parser. Jeder Transformator muss mindestens einen Parser haben, und der erste Prozessor in einem Transformator muss ein Parser sein.
Bei einigen der Parser handelt es sich um integrierte Parser, die für einen bestimmten Typ von versendeten Protokollen konfiguriert sind. AWS
Andere Prozessortypen sind String-Mutatoren, JSON-Mutatoren und Datenprozessoren.
Sie können Transformatoren für einzelne Protokollgruppen erstellen, und Sie können auch Transformatoren auf Kontoebene erstellen, die für alle oder viele Protokollgruppen in Ihrem Konto gelten. Wenn eine Protokollgruppe über einen Transformator auf Protokollgruppenebene verfügt, hat dieser Transformator Vorrang vor allen Transformatoren auf Kontoebene, die andernfalls für diese Protokollgruppe gelten würden. Sie können bis zu 20 Transformatoren auf Kontoebene in einer Region in Ihrem Konto haben.
Bei der Erstellung eines Transformators müssen Sie die folgenden Richtlinien beachten:
-
Wenn Sie einen vorkonfigurierten Parser für einen bestimmten Typ von AWS versendeten Protokollen verwenden, muss es sich um den ersten Prozessor handeln, der im Transformer aufgeführt ist. Sie können nur einen solchen Prozessor in einen Transformator aufnehmen.
-
Sie können nur einen
grok
Prozessor in einen Transformator aufnehmen. -
In einem Transformator muss mindestens ein Prozessor vom Typ Parser vorhanden sein. Sie können bis zu fünf Prozessoren vom Typ Parser einbeziehen. Dieses Limit von fünf schließt sowohl integrierte Parser als auch konfigurierbare Parser ein.
-
Sie können bis zu 20 Prozessoren in einem Transformator haben.
-
Sie können nur einen AddKeys-Prozessor in einen Transformer aufnehmen.
-
Sie können nur einen CopyValue-Prozessor in einen Transformer aufnehmen.
-
Jeder Transformator kann bis zu 200 Felder aus einem Protokollereignis extrahieren.
Weitere Informationen zu allen unterstützten Prozessoren und ihrer Syntax finden Sie unterProzessoren, die Sie verwenden können.