Логи и события (первичные данные)
Используйте экран Первичных событий для просмотра первичных данных, логов и сообщений, поступающих в Monq из различных потоков данных.
Перейдите в раздел системы Сбор данных - Логи и события через основное меню.
Выбор потока данных
По умолчанию, при открытии экрана "Логи и события", для отображения выбраны все имеющиеся потоки данных в системе.
Для фильтрации данных по потокам:
- Переключите ползунок "Поля"/"Потоки" в режим "Потоки".
- Нажмите Очистить все.
- Выберите необходимые потоки, нажимая "+" напротив названия потока.
Для выбора всех потоков нажмите Выбрать все.
Просмотр данных
Нажмите на стрелочку слева от сообщения (события) для просмотра его детальной информации.
Переключайтесь между вкладками JSON и Табличное представление для изменения внешнего вида данных.
Во вкладке JSON, справа от файла, нажмите «Копировать» для помещения объекта .json в буфер обмена.
В столбцах Доступные / Выбранные поля доступен просмотр статистики для каждого поля.
Для отображения статистики нажмите на значок гистограммы рядом с именем поля в столбце – откроется всплывающее окно, где будут перечислены самые популярные значения поля, а также минимальные, максимальные и средние значения для числовых полей.
💡 При нажатии на значение в окне также появляется возможность добавить условие, использующее это значение, в фильтр.
Вы можете экспортировать весь список отфильтрованных событий в формате .xlsx или .csv – нажмите «Экспорт» в правом верхнем углу и выберите формат файла.
Поиск и фильтры
Для поиска и фильтрации данных вы можете воспользоваться строкой для формирования поискового запроса или настраиваемым фильтром под строкой поиска.
Для формирования настраиваемого фильтра нажмите «+ Фильтр» – к общему фильтру добавится новое условие.
В выпадающем меню выберите Поле из доступных среди всех отображаемых событий, Оператор (
равно,не равно,содержит,не содержит), введите Значение и Примените условие.Для оператора "содержит" допускается указание значений через запятую
Кроме того, вы можете добавить к фильтру условия прямо из Табличного представления – кликните на поле в событии и нажмите всплывающую кнопку «Добавить в фильтр события, содержащие это значение».
Для фильтрации данных по дате и времени используйте датапикер справа от поисковой строки.
Для самостоятельного формирования запроса воспользуйтесь строкой поиска – введите запрос на языке MQL, основанном на Lucene (краткая справка ниже).
| Тип запроса | Пример | Примечание |
|---|---|---|
| Поиск по термину (точное совпадение, без спецсимволов) | _stream.name:Messages | Запрос не чувствителен к регистру. |
| Поиск по фразе с пробелами, числовым, отрицательным значениям, датам (точное совпадение) | _stream.name:"CIT Messages"source.text:"что происходит\?"source.text:происходит\? | Экранирование происходит с помощью кавычек. Двойные кавычки обязывают экранировать ? * \ " внутри, если требуется найти точное совпадение. Внутреннее экранирование производится через \.Также если нет экранирующих кавычек, но есть символы ? * \ ", то их тоже необходимо экранировать через \. |
| Значение не равно | !_stream.name:"CIT Messages"-_stream.name:"CIT Messages" | |
| Префиксный поиск | _stream.name:Pr* | Запрос вернет все события, в которых значение поля stream.name начинается на "Pr". Например, Prometheus. Запрос !stream.name:*Pr - вернет события, если значение поля stream.name не начинается с "Pr". |
| Полнотекстовый | _stream.name:*bb* | Запрос вернет все события, значения поля stream.name которых содержат 2 подряд расположенных символа "bb".Например, Zabbix. Символы могут находиться в любой части значения. !stream.name:*bb* - не содержит "bb". Если поиск ведется, используя фразу с пробелами, ее необходимо заключить в кавычки. Например: _stream.name:"*IT Messag*". Запрос вернет события, в которых поле _stream.name содержит "IT Messag", например "CIT Messages" |
| Постфиксный поиск | _stream.name:*ges | Запрос вернет все события, значения поля stream.name которых заканчиваются на "ges". Например, messages. !stream.name:*ges - не заканчивающихся на "ges" |
| BooleanQuery (логические условия) | _stream.name:Messages AND (source.Type:UserLeft OR source.Type:UserJoin) | Выражения объединяются через операторы OR или AND, которые отделяются одним пробелом справа и слева.Запрос (также внутрискобочное выражение) не может начинаться с оператора. Количество операторов должно быть на 1 меньше, чем количество выражений. Выражения и операторы должны чередоваться. Также выражения можно объединять через скобки, количество открывающих и закрывающих скобок должно совпадать. Приоритет выражений как в математике, где AND — умножение, OR — сложение. |
| Экранирование символов | source.text:"что происходит\?"source.text:происходит\?source.password:"asd(\\\?) sd"будет искать точное совпадение с asd(\?) sd | Необходимо экранировать круглые скобки, двоеточия и пробелы, их можно экранировать через кавычки. Также необходимо экранировать ? * \ " через \ |
| Поиск полей с непустым значением | source.text:exists() | Работает с любым типом поля |
| Исключить события, в которых присутствует данное поле | !source.text:exists()-source.text:exists() | Работает с любым типом поля |
Любой составленный вами запрос можно Сохранить для быстрого использования.
Для сохранения запроса сконфигурируйте фильтры нужным вам способом, нажмите «Сохранить как» в верхней области страницы и введите название запроса.
Сразу при добавлении отметьте пункт «Добавить в Избранное» – запрос появится в панели быстрого доступа после добавления.
Вы можете выбрать другой запрос из уже сохраненных в селекторе слева от кнопки «Сохранить» и переименовать, удалить или сбросить настройки через выпадающее меню справа от кнопки «Сохранить».
Конфигурация представления
Вы можете настроить представление данных на экране первичных событий с помощью состава отображаемых полей сообщений и уровня детализации гистограммы.
Уровень детализации гистограммы (интервал) задается в правом верхнем углу графика. При выборе слишком маленького или большого интервала, гистограмма автоматически подберет оптимальный.
Для переключения между строчным и табличным представлением используйте переключатель слева от гистограммы.
Настройте состав полей отображаемых событий.
Переключите ползунок "Поля"/"Потоки" в режим "Поля" – добавляйте и удаляйте поля кнопками «➕» и «✖️» справа от названия в колонке «Доступные поля» («Выбранные поля») в левой области экрана.
Воспользуйтесь переключателем в правом верхнем углу экрана для включения / отключения отображения поступающих в Monq событий в реальном времени.
Персональные настройки экрана
Преобразование Markdown
Нажмите на "шестеренку" в правом верхнем углу.
В открывшемся диалоговом окне активируйте тугл Преобразовывать разметку Markdown в событиях для преобразования разметки Markdown в событиях.
В строку ниже введите поля, которые подлежат преобразованию.