数据分析系统操作手册目录一、前言 (2)1.1、编写目的 (2)1.2、读者对象 (2)二、系统综述 (2)2.1、系统架构 (2)2.1.1系统浏览器兼容 (2)三、功能说明 (3)3.1、登录退出 (3)3.1.1、登录 (3)3.1.2、退出 (3)3.1.3、用户信息 (4)3.2、仪表盘 (4)3.2.1、报表选择 (5)3.2.2、布局方式 (6)3.2.3、仪表盘管理 (6)3.2.4、单个报表 (8)3.3、应用中心 (10)3.3.1、数据搜索 (11)3.4、策略配置 (33)3.4.1、数据采集 (33)3.4.2、报表 (38)3.4.3、数据类型 (43)3.4.4、预设搜索 (46)3.5、系统管理 (48)3.5.1、代理注册设置 (49)3.5.2、用户角色 (50)3.5.3、系统用户 (52)四、附件 (54)一、前言1.1、编写目的本文档主要介绍日志分析系统的具体操作方法。
通过阅读本文档,用户可以熟练的操作本系统,包括对服务器的监控、系统的设置、各类设备日志源的配置与采集,熟练使用日志查询、日志搜索功能,并掌握告警功能并能通过告警功能对与日志进行定位与分析。
1.2、读者对象系统管理员:最终用户项目负责人:即所有负责项目的管理人员测试人员:测试相关人员二、系统综述2.1、系统架构系统主界面为所有功能点的入口点,通过主菜单可快速定位操作项。
系统主要分为四大模块,分别为1):仪表盘2):应用中心3):策略配置4):系统管理2.1.1系统浏览器兼容支持的浏览器IE版本IE8至IE11等版本Google chrome(谷歌浏览器) Chrome 36及以上版本Firefox 30及以以上版本Mozilla Firefox (火狐浏览器)建议使用火狐浏览器、Chrome浏览器、IE8浏览器三、功能说明3.1、登录退出3.1.1、登录打开浏览器,在浏览器内输入URL,例如:进入登录页面。
默认系统管理员账户:admin 密码:1234563.1.2、退出用户admin登录进入系统页面,页面右上角有个“退出”的图标,点击该图标,页面返回至登录页面。
3.1.3、用户信息用户admin登录进入系统页面,页面右上角显示当前登录用户的用户名,点击该用户名,可以查看/编辑用户信息(不能修改用户名)和修改用户密码注:e-mail可以使用中文字符3.2、仪表盘仪表盘,又俗称Dashboard。
它通过将数据可视化的方法,向用户直观地展示信息和关键业务指标,清晰而直观地传达关键信息给用户,传递出来的信息能够快速被理解。
3.2.1、报表选择点击页面右上角图标,在页面上可以显示已创建且未添加至仪表盘页面的报表,但最多能显示8个;可以通过“查询”搜索没有显示的报表,还可以通过该页面的“新增”功能直接创建新报表。
1、查询报表:查询没有显示在列表中的报表添加在仪表板在文本框中输入报表名称,点击“查询”,显示根据报表名称查询出的报表(支持模糊查询)2、新增报表:直接通过仪表板界面新增点击“新增”,页面跳转至“策略配置”的新增报表界面。
3.2.2、布局方式支持4种不同风格的布局方式,用户可根据使用习惯随意切换。
3.2.3、仪表盘管理➢重命名仪表盘:修改当前显示仪表盘的名称。
(仪表盘名称最多20个中文字符,如果输入超过20个中文字符,保存后,自动显示前20个中文字符)➢删除仪表盘:删除当前显示的仪表盘。
若当前仪表盘为主页,删除主页仪表盘后,页面会显示仪表盘列表中第二个仪表盘。
➢保存布局:点击切换布局方式后,需点击保存布局,否则,刷新页面或重新登录后,布局方式会被重置为之前保存的布局。
➢重置布局:点击切换布局方式后,不保存布局,点击重置布局,布局方式恢复原样。
➢设为主页:页面的默认显示。
主页只有一个,设置新的仪表盘为主页后,原先的主页会自动变成非主页。
登录后,页面自动显示被设为主页的仪表盘➢导出PDF:当前仪表盘以PDF格式直接浏览且可以保存至本地。
➢新建仪表盘:直接进入创建仪表盘页面,创建新仪表盘。
1、新增仪表盘。
仪表盘名称不能重复,且不能超过20个中文字符➢管理仪表盘:显示当前仪表盘的信息,同时可以新增仪表盘,对已有仪表盘进行修改、删除、查找等操作。
1、修改仪表盘。
点击“编辑”图标,进入编辑页面,修改仪表盘信息。
2、删除仪表盘。
支持单条删除和批量删除。
3.2.4、单个报表➢最小化:点击“最小化”后,整个报表收缩到只是显示“标题栏”,该仪表盘中其他报表自动上移,最小化的报表显示在和仪表盘名称同排的位置,多个报表最小化也同样显示,点击最小化后的图标,报表恢复到原来的位置。
最初显示,如图:最小化后显示,如图:➢最大化:点击“最大化”后,整个报表扩展到整个仪表盘所在的页面。
最初显示,如图:最大化后显示,如图:➢刷新:手动刷新报表,“最后刷新时间”随之改变➢导出PDF:当前报表以PDF格式直接浏览且可以保存至本地。
➢编辑:进入该报表的“定制图表”页面,可重新编辑图表。
具体操作可参考3.4.2.1创建报表的步骤3。
➢刷新频率:默认为60秒,可自己手动设置自动刷新的频率。
设置刷新频率保存时,该仪表盘中展示的所有报表同时刷新。
➢删除:将该报表从本仪表盘移除。
删除时可根据页面提示“是否确定删除”框操作。
3.3、应用中心应用中心,又称“数据应用中心”。
其功能是可安装、升级各种应用程序;利用收集得到的数据,构建不同的数据应用场景。
3.3.1、数据搜索数据搜索功能提供功能强大、简单易用的方式搜索数据,可以在海量数据中快速找到需要的数据,并且以图表和报表的形式同时显示。
其功能主要由搜索语句、时间范围、索引库、过滤字段、过滤、字段及搜索结果七部分组成。
如图:3.3.1.1、搜索语句搜索文本框中的搜索语句,支持“新搜索语句”、“历史记录”和“保存搜索”三种方式的输入。
备注:1、历史记录:只显示最近查询的前10条搜索语句。
2、保存搜索:可在搜索文本框中输入后,点击保存按钮,直接保存。
具体操作请参考:3.4.4.1创建预设。
3、保存PDF:将查询出的数据图以PDF格式直接浏览或下载至本地浏览。
保存PDF,如图:3.3.1.2、简单搜索规则1、全文检索包含以下规则:➢OR或空格(OR必须大写) ---搜索条件包含A或B (例:A B , A OR B)例: _type : HsmError OR _type : 72或 _type : HsmError _type : 72两种写法_type : HsmError OR _type : 72,如图:_type : HsmError _type : 72,如图:➢AND(AND必须大写) ---搜索条件必须同时包含A和B (例:A AND B ) 例:err_type : 0 AND hsm_port : 1808,如图:➢NOT(必须大写) ---匹配数据不包含条件 (例:NOT A)例:NOT Source_IP : 172.16.1.243,如图:➢+(加号) ---搜索结果必须包含该项 (例:A OR +B ,必须有B,可以没有A) 例:err_type : 0 OR +hsm_port : 1808A和B同时存在,如图:只存在B,如图:➢phrase~ ---相似度查询( 例:close,搜索结果会含有closed)例:remar~,如图:2、短语查询包含以下规则,如图:➢"" ---引号内内容完全匹配查询(结果不区分大小写) (例:"phrase loading") 例:"26749f9439c5d742ee9d2ba7283ebe36f5",如图:➢""~N ---查询日志必须包含引号内容,引号内单词最大间隔N (例:"phrase loading"~5)注:一个单词算一个间隔例:"ExecuteThread self-tuning"~10,如图:3.3.1.3、复杂搜索规则1、精确查询包含以下规则,如图:条件:查询格式:field:value (field是字段名,应当为字符串,搜索时区分大小写字母,不得使用? *等字符;value可以是字符串、数值、日期,字符串不区分大小写字母,支持模糊查询、短语查询、简单正则表达式查询、相似性查询)➢message:A ---匹配message字段值包含A例:_type : 03,如图:➢message:"phrase loading"~5 ---在message字段查询“phrase loading”,匹配的日志也必须包含“phrase loading”,两个单词最大间隔5例:LOG_TEXT : "ExecuteThread self-tuning"~10,如图:2、逻辑运算符包含以下规则,如图:➢ A AND (B OR C) ---匹配的数据中必须包含A,还要包含及B或者C中的任一个包含A和B或者包含A和C的情况,如图:例:ExecuteThread AND ( OR 1448253211596),如图:A、B、C三个条件同时包含的情况,如图:例:ExecuteThread AND ( OR 1448253211596),如图:➢message: A AND (B OR C) ---message字段必须包含A,还要包含及B或者C中的任一个例:TASK_ID : 93 AND (HOST_NO : 20.20.20.26 OR _type : 02)A、B、C三个条件同时包含,如图:包含A和B或C中的其中一个条件,如图:3、范围查询包含以下规则,如图:➢>= 或 TO*(TO必须大写) ---搜索匹配字段大于等于(例:num:[300 TO *] 或num: >=300)例:TASK_ID : [72 TO *],如图:TASK_ID : >=72,如图:➢<= 或 *TO(TO必须大写) ---搜索匹配字段小于等于 (例:num:<= 400 或 time:[* TO 2012-01-01])例:ORG_ID : [* TO 10],如图:ORG_ID : <=10,如图:➢{ A TO B }(TO必须大写) ---搜索匹配范围之内(不包含边界值) (例:num:{ 300 TO 400 },效果等同于:num:(>300 AND <400))例:TASK_ID : ( >72 AND <94 ),如图:➢[ A TO B ](TO必须大写) ---搜索匹配范围之内(包含边界值)(例:time:[2012-01-01 TO 2012-01-02]) 注:如果查询时间范围,时间只能从前往后,不能从后往前例:IN_TIME : [2016-01-20T17:55:08 TO 2016-01-20T17:56:08],如图:4、字段检索(查询某个字段是否存在)包含以下规则,如图:➢_missing_:content ---字段空检索(字段不存在),匹配不存在字段content的数据。