GeryLog2splunkspark大数据日志分析需求文档.docx

GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
*＊＊＊基于日志分析
软件需求规格说明书
第park大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
Kｅｙｗoｒd(关键字）
基于特定搜索的语法的关键字查询
表3－2:搜索功能类型表
基于对消息Keyword（关键字)搜索，参考表格中“输入查找”的特定语法，得出查找消息的结果参照表格“语法解释"的内容.
输入查找　
语法解译
ssｈ
消息中包含ｓsh的内容
ssｈ login
消息中包含ssh 或者 loｇin 的内容
“ssh　ｌogin”
消息中完全匹配“ssh　login"的内容
ｔype:ｓsh
消息中字段类型是ssh的内容
tyｐｅ:（ｓｓh login）
消息中字段类型是 ssh 或者 logiｎ的内容
tｙpｅ：“ssｈ loｇin”
消息中字段类型完全匹配是“sｓh lｏgｉn”的内容
_missｉng_:typｅ
消息中没有字段类型的内容
＿eｘists_：tｙpｅ
消息中有字段类型的内容
表3—3：搜索功能语法表
查询的消息记录结果，以报表柱状图的方式查看。以年、季度、月、周、天、小时、，同时对应相应的消息总数的用占用的物理容量。对于每条已截获的消息流，可根据该流当中选择所有字段、默认字段、自选字段、不选字段进行查看每条字段当中的实际统计值。
在单个字段有可操作的显示方式，其中统计、快速显示值参考以下表格中的内容。生成图表功能有选值查看功能:实际值（Mean)、最大值（Maｘimuｍ）、最小值
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
(Miｎimum)、求和(ｔｏｔal）、总条数(Ｃount)；
报表查看类型：面积(Area）、条(Bａr）、线(Lｉne）、散点图(sｃａtterｐlot）;
分析视图方式：分钟（Minute)、小时(Hour）、天（Daｙ）、周(Ｗeek）、月（Moｎth）、季度（Ｑｕartｅr）、年（Year）。
统计（Sｔａtistｉｃs）
统计消息总数、有效数、标准偏差、最小数、最大数、求和、方差、平方和
Add ＤashBroad
快速显示值(Qｕick　vａlues)
统计当前字段的内容及重复的个数,所占总个数的百分比
Ａdd　ＤashBｒoad
生成图表（Gｅｎｅratｅ　chart）
按照当前字段生成图表,用不同的时间维度展示视图显示
Aｄd DashBroad
表3—４：搜索结果字段统计类型表
查询出的结果单个消息和柱状视图两个方式都可以加入DaｓhBoaｒd中，当前结果可以保存在本地文件当中，也可以作为结果集保存在服务器上。
消息流
消息流是对于消息输入项中，配置对消息的ＭessageIＤ和Inｄｅｘ 两个参数相同的消息进行截获。
填写消息流标题、、消息流描述、ＩO（ｍesｓages／secｏnd）、配置规则
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析需求文档
数(展开所有配置规则清单可做删除、修改操作）、创建人、创建时间、删除当前消息流操作。
Tｉｔtle
创建消息流的标题
Descriptioｎ
创建消息流的描述
表3-4:消息流配置表
编辑消息流
修改之前定义好消息流的名称，描述信息。
编辑规则
一条消息流可添加多个规则,编辑完成的规则可修改、删除。
快速添加规则
在消息输入项消息获取过程当中,建立消息流的规则机制。自定义当前消息的规则检测消息输入项的异动情况，定义消息异动的阀值。定义的表达式可通过消息记录数量、字段名称,表达式定义丰富可完全匹配、表达式匹配、大于、小于、字段存在,以上条件可实现表达式的条件反转.
Matcｈ ｅxａctｌｙ
完全匹配
Matcｈ regulａｒ　expression
正则表达式匹配
Gｒｅateｒ thaｎ
大于
GeryLog2splunkspark大数据日志分析需求文档
GeryLog2splunkspark大数据日志分析