Cloud Logging ограничивает размер входящих журналов 256 КБ и отбрасывает всё, что больше. Чтобы гарантировать сохранение больших журналов в Cloud Logging, Fleet Engine может разбить их на несколько журналов меньшего размера.
Облачное ведение журналов может разделять следующие журналы из Fleet Engine:
Каждая разделенная запись журнала содержит следующие поля:
-
split.uid— уникальный идентификатор группы записей журнала, отделённых от исходной общей записи. Значение этого поля одинаково для всех записей, отделённых от исходной записи журнала. -
split.index: позиция данной записи в серии разделённых записей. Первая запись из разделённой записи имеет индекс0.split.index. Этот индекс также добавляется к полюLogEntry.insertId. -
split.totalSplits: Количество записей журнала, на которые была разделена исходная запись журнала. Значение этого поля одинаково для всех записей, разделенных исходной записью журнала.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Чтобы найти все журналы, которые были отделены от одного конкретного журнала, используйте такой запрос:
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
Структура этих разделённых журналов практически идентична структуре, показанной в руководстве по журналам аудита облака. Главное отличие заключается в том, что для журналов Fleet Engine разделение происходит в поле jsonPayload . Подробности и примеры см. в разделе Разделённые записи журнала аудита .
Что дальше?
Чтобы подсчитывать и фильтровать журналы по вашим критериям, создайте метрики на основе журналов .