Перейти к основному содержимому
Версия: 7.11

Логи и события (первичные данные)

Используйте экран Первичных событий для просмотра первичных данных, логов и сообщений, поступающих в Monq из различных потоков данных.

Изображение

Перейдите в раздел системы Сбор данных - Логи и события через основное меню.

Выбор потока данных

По умолчанию, при открытии экрана "Логи и события", для отображения выбраны все имеющиеся потоки данных в системе.

Для фильтрации данных по потокам:

  1. Переключите ползунок "Поля"/"Потоки" в режим "Потоки".
  2. Нажмите Очистить все.
  3. Выберите необходимые потоки, нажимая "+" напротив названия потока.

Для выбора всех потоков нажмите Выбрать все.

Просмотр данных

Нажмите на стрелочку слева от сообщения (события) для просмотра его детальной информации.

Переключайтесь между вкладками JSON и Табличное представление для изменения внешнего вида данных.

Во вкладке JSON, справа от файла, нажмите «Копировать» для помещения объекта .json в буфер обмена.

В столбцах Доступные / Выбранные поля доступен просмотр статистики для каждого поля.

Для отображения статистики нажмите на значок гистограммы рядом с именем поля в столбце – откроется всплывающее окно, где будут перечислены самые популярные значения поля, а также минимальные, максимальные и средние значения для числовых полей.

💡 При нажатии на значение в окне также появляется возможность добавить условие, использующее это значение, в фильтр.

Вы можете экспортировать весь список отфильтрованных событий в формате .xlsx или .csv – нажмите «Экспорт» в правом верхнем углу и выберите формат файла.

Поиск и фильтры

Для поиска и фильтрации данных вы можете воспользоваться строкой для формирования поискового запроса или настраиваемым фильтром под строкой поиска.

  • Для формирования настраиваемого фильтра нажмите «+ Фильтр» – к общему фильтру добавится новое условие.

    В выпадающем меню выберите Поле из доступных среди всех отображаемых событий, Оператор (равно, не равно, содержит, не содержит), введите Значение и Примените условие.

    Для оператора "содержит" допускается указание значений через запятую

    Кроме того, вы можете добавить к фильтру условия прямо из Табличного представления – кликните на поле в событии и нажмите всплывающую кнопку «Добавить в фильтр события, содержащие это значение».

  • Для фильтрации данных по дате и времени используйте датапикер справа от поисковой строки.

  • Для самостоятельного формирования запроса воспользуйтесь строкой поиска – введите запрос на языке MQL, основанном на Lucene (краткая справка ниже).

Тип запросаПримерПримечание
Поиск по термину (точное совпадение, без спецсимволов)_stream.name:MessagesЗапрос не чувствителен к регистру.
Поиск по фразе с пробелами, числовым, отрицательным значениям, датам (точное совпадение)_stream.name:"CIT Messages"
source.text:"что происходит\?"
source.text:происходит\?
Экранирование происходит с помощью кавычек.
Двойные кавычки обязывают экранировать ? * \ " внутри, если требуется найти точное совпадение. Внутреннее экранирование производится через \.
Также если нет экранирующих кавычек, но есть символы ? * \ ", то их тоже необходимо экранировать через \.
Значение не равно!_stream.name:"CIT Messages"
-_stream.name:"CIT Messages"
Префиксный поиск_stream.name:Pr*Запрос вернет все события, в которых значение поля stream.name начинается на "Pr". Например, Prometheus.
Запрос !stream.name:*Pr - вернет события, если значение поля stream.name не начинается с "Pr".
Полнотекстовый_stream.name:*bb*Запрос вернет все события, значения поля stream.name которых содержат 2 подряд расположенных символа "bb".
Например, Zabbix.
Символы могут находиться в любой части значения.
!stream.name:*bb* - не содержит "bb".
Если поиск ведется, используя фразу с пробелами, ее необходимо заключить в кавычки. Например: _stream.name:"*IT Messag*". Запрос вернет события, в которых поле _stream.name содержит "IT Messag", например "CIT Messages"
Постфиксный поиск_stream.name:*gesЗапрос вернет все события, значения поля stream.name которых заканчиваются на "ges".
Например, messages.
!stream.name:*ges - не заканчивающихся на "ges"
BooleanQuery (логические условия)_stream.name:Messages AND (source.Type:UserLeft OR source.Type:UserJoin)Выражения объединяются через операторы OR или AND, которые отделяются одним пробелом справа и слева.
Запрос (также внутрискобочное выражение) не может начинаться с оператора.
Количество операторов должно быть на 1 меньше, чем количество выражений.
Выражения и операторы должны чередоваться.
Также выражения можно объединять через скобки, количество открывающих и закрывающих скобок должно совпадать.
Приоритет выражений как в математике, где AND — умножение, OR — сложение.
Экранирование символовsource.text:"что происходит\?"
source.text:происходит\?
source.password:"asd(\\\?) sd"
будет искать точное совпадение с asd(\?) sd
Необходимо экранировать круглые скобки, двоеточия и пробелы, их можно экранировать через кавычки.
Также необходимо экранировать ? * \ " через \
Поиск полей с непустым значениемsource.text:exists()Работает с любым типом поля
Исключить события, в которых присутствует данное поле!source.text:exists()
-source.text:exists()
Работает с любым типом поля

Любой составленный вами запрос можно Сохранить для быстрого использования.

Для сохранения запроса сконфигурируйте фильтры нужным вам способом, нажмите «Сохранить как» в верхней области страницы и введите название запроса.

Сразу при добавлении отметьте пункт «Добавить в Избранное» – запрос появится в панели быстрого доступа после добавления.

Вы можете выбрать другой запрос из уже сохраненных в селекторе слева от кнопки «Сохранить» и переименовать, удалить или сбросить настройки через выпадающее меню справа от кнопки «Сохранить».

Конфигурация представления

Вы можете настроить представление данных на экране первичных событий с помощью состава отображаемых полей сообщений и уровня детализации гистограммы.

Уровень детализации гистограммы (интервал) задается в правом верхнем углу графика. При выборе слишком маленького или большого интервала, гистограмма автоматически подберет оптимальный.

Для переключения между строчным и табличным представлением используйте переключатель слева от гистограммы.

Настройте состав полей отображаемых событий.

Переключите ползунок "Поля"/"Потоки" в режим "Поля" – добавляйте и удаляйте поля кнопками «➕» и «✖️» справа от названия в колонке «Доступные поля» («Выбранные поля») в левой области экрана.

Воспользуйтесь переключателем в правом верхнем углу экрана для включения / отключения отображения поступающих в Monq событий в реальном времени.

Персональные настройки экрана

Преобразование Markdown

Нажмите на "шестеренку" в правом верхнем углу.

В открывшемся диалоговом окне активируйте тугл Преобразовывать разметку Markdown в событиях для преобразования разметки Markdown в событиях.

В строку ниже введите поля, которые подлежат преобразованию.