快速入门

背景说明

在企业IT环境中，​​海量日志数据分散​​于服务器、应用、容器及网络设备中，涵盖系统状态、错误追踪、安全事件等关键信息。运维人员日常需通过这些日志定位故障、优化性能或满足审计要求，但传统方式（如逐台登录服务器查询、手动筛选文本文件）不仅效率低下，且难以关联跨系统问题，导致故障响应延迟和运维成本攀升。

为应对这一挑战，​​日志中心通过集中化管理架构​​，整合多源异构日志数据，提供统一的采集、存储、查询能力。基于智能检索与实时监控，运维团队可快速定位根因、预测风险，将被动响应转化为主动运维，显著提升系统稳定性和管理效率。

配置采集器

选择合适的采集器，点击设置，配置具体的文件路径，添加监控对象，选择节点和日志分组，输入实例名称。

查看实例

在日志接收中查看实例，可点击“编辑”修改实例名称和分组。点击“更新配置”可更新主机，日志分组等。

日志搜索

日志搜索是对分散在服务器、应用及设备中的海量日志进行​​集中采集、结构化处理、高效索引与实时检索​​的技术过程。主要功能包括搜索条件，查询直方图，列表/终端。

搜索条件

搜索条件可按时间段，分组以及搜索进行查询。分组设置可在1.5中查看。

搜索查询语法说明

点击“灯泡”按钮即可查看，搜索查询包括简单查询，日志排序，指定返回字段，排除特定日志，字段级查询。

日志刷新

日志刷新包括手动刷新和自动刷新两种。选择了自动刷新则系统会按照设定的时间进行自动刷新日志。

查询直方图

直方图展示的内容为时间和日志数量，还可以看到日志总条数，查询时间，查询耗时等。

快捷时间段查询

快捷时间段查询：拉取两个时间点的时间段，即可快捷进行这部分时间段的查询。

原日志

包括两个部分，列表和终端。列表：按时间戳和信息进行日志信息的获取展示。终端：终端为实时日志，点开后自动开启滚动模式，可点击暂停键停止滚动。还有清空日志和全屏展示的功能。

列表关键字快捷搜索

点开具体信息后即可选取具体的字段信息进行快捷查询。

设置权限

把全部的日志按照规则中设置的可查看部分提取，再分给日志分组下的所属分组的具体个人。主要包括列表，添加，查询这三部分操作。

日志分组列表

在列表中可查看名称，规则描述，所属组织，采集类型，创建时间，创建者，操作。

日志分组添加

添加日志分组需填写名称，选择采集类型和分组，设置规则。
1.规则：可添加多条，再选择“所有条件”，“任意条件”进行连接。（所有条件：同时满足多条规则才符合，任意条件：满足任一条件即可）
2.分组：与设置-组织架构中的分组一致。

功能介绍

采集器

Vector File

Vector File 通过监控指定文件变化，实时读取新增内容并转为结构化日志事件，包含文件路径、主机名、原始消息等字段。

它的基本功能‌有实时监控文件变化，结构化日志事件。主要特点为‌高效处理，断点续传，多行日志合并，字符编码转换。

Vector Syslog

Vector Syslog 抓取系统/设备发的日志（比如路由器报警），自动解析日志里的时间、主机名、日志等级（如ERROR）、进程名和原始消息等信息。

它的基本功能有‌实时接收日志流和结构化协议解析。主要特点为‌高效处理​，连接保持，结构化提取​​，编码安全​​。

Vector Docker​

Vector Docker 实时采集容器日志，自动提取容器ID/名称、镜像信息、时间戳和原始日志等内容。

它的基本功能有实时收集容器日志和结构化容器元数据‌，它的主要特点为高效处理，智能续传​​，多行日志合并​​，容器智能过滤​​。

Vector Exec​

​Vector Exec 抓取命令行程序输出（如crontab任务），自动解析执行时间、命令路径、返回码、标准输出/错误流，并附带进程PID和环境变量等相关信息。

它的‌基本功能‌为执行外部命令，生成结构化事件。主要特点‌是高效处理​，断点续传，多流合并，环境控制。