In Cloud Logging ist die Größe eingehender Protokolle auf 256 KB begrenzt. Größere Protokolle werden verworfen. Damit Ihre großen Logs in Cloud Logging gespeichert werden können, kann Fleet Engine sie in eine Reihe kleinerer Logs aufteilen.
Bei der Cloud-Protokollierung werden die folgenden Logs aus der Fleet Engine möglicherweise aufgeteilt:
Jeder Split-Logeintrag enthält die folgenden Felder:
split.uid: Eine eindeutige Kennung für die Gruppe von Logeinträgen, die aus einem gemeinsamen ursprünglichen Logeintrag aufgeteilt wurden. Der Wert dieses Felds ist für alle Einträge identisch, die aus dem ursprünglichen Logeintrag aufgeteilt wurden.split.index: Die Position dieses Eintrags in der Reihe der aufgeteilten Einträge. Der erste Eintrag der Aufteilung hat den Index0.split.index. Dieser Index wird auch an das FeldLogEntry.insertIdangehängt.split.totalSplits: Die Anzahl der Logeinträge, in die der ursprüngliche Logeintrag aufgeteilt wurde. Der Wert dieses Felds ist für alle Einträge identisch, die aus dem ursprünglichen Logeintrag aufgeteilt wurden.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Wenn Sie alle Protokolle finden möchten, die aus einem bestimmten Protokoll aufgeteilt wurden, verwenden Sie eine Abfrage wie diese:
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
Die Struktur dieser geteilten Protokolle entspricht fast der Struktur, die im Leitfaden für Cloud-Audit-Logs dargestellt ist. Der Hauptunterschied besteht darin, dass bei Fleet Engine-Protokollen die Aufteilung im Feld jsonPayload erfolgt. Weitere Informationen und Beispiele finden Sie unter Geteilte Audit-Logeinträge.
Nächste Schritte
Wenn Sie Protokolle nach Ihren Kriterien zählen und filtern möchten, erstellen Sie logbasierte Messwerte.