日志服务：主机文本日志采集

配置步骤：

1. 在日志库页面，单击目标Logstore名称前的展开。

2. 单击数据接入后的，在快速数据接入弹框中，选择文本日志接入模板（如单行-文本日志），单击立即接入。

   所有文本日志接入模板仅在解析插件上有所差异，其余配置流程一致，后续均可修改。

3. 在机器组配置页面，配置如下参数：

   • 使用场景：主机场景

   • 安装环境：ECS

   • 配置机器组：根据目标服务器的LoongCollector安装情况与机器组配置状态，选择对应操作：

     • 已安装LoongCollector且已加入某个机器组，直接在源机器组列表中勾选，将其添加至应用机器组列表，无需重复创建。

     • 未安装LoongCollector，单击创建机器组：

       以下步骤将引导您完成LoongCollector的一键自动安装并创建机器组。

       1. 系统会自动列出与 Project 同地域的 ECS 实例，勾选需要采集日志的一台或多台实例。

       2. 单击安装并创建为机器组，系统将自动在所选ECS实例上安装LoongCollector。

       3. 配置机器组名称并单击确定。

       说明

       如果安装失败或一直处于等待中，请检查ECS地域是否与Project相同。

     • 如需将已安装LoongCollector的服务器加入已有机器组，请参考常见问题如何将服务器加入到已有机器组？

4. 检查心跳状态：单击下一步，页面出现机器组心跳情况。查看心跳状态，若为OK表示机器组连接正常，单击下一步，进入Logtail配置页面。

   若为FAIL，可能是初次建立心跳需要花费一些时间，请等待两分钟左右，再刷新心跳状态。若刷新后仍为FAIL，请参考机器组心跳连接为fail进一步排查。

全局配置：

• 配置名称：自定义采集配置名称，在其所属Project内必须唯一。创建成功后，无法修改。命名规则：

  • 仅支持小写字母、数字、连字符（-）和下划线（_）。

  • 必须以小写字母或者数字作为开头和结尾。

输入配置：

• 类型：文本日志采集。

• 文件路径：日志采集的路径。

  • Linux：以“/”开头，如/data/mylogs/**/*.log，表示/data/mylogs目录下所有后缀名为.Log的文件。

  • Windows：以盘符开头，如C:\Program Files\Intel\**\*.Log。

• 最大目录监控深度：文件路径中通配符**匹配的最大目录深度。默认为0，表示只监控本层目录。

场景二：结构化日志

192.168.*.* - - [15/Apr/2025:16:40:00 +0800] "GET /nginx-logo.png HTTP/1.1" 0.000 514 200 368 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.*.* Safari/537.36"

body_bytes_sent: 368 http_referer: - http_user_agent : Mozi11a/5.0 (Nindows NT 10.0; Win64; x64) AppleMebKit/537.36 (KHTML, like Gecko) Chrome/131.0.x.x Safari/537.36 remote_addr:192.168.*.* remote_user: - request_length: 514 request_method: GET request_time: 0.000 request_uri: /nginx-logo.png status: 200 time_local: 15/Apr/2025:16:40:00

配置步骤：在Logtail配置页面的处理配置区域

1. 添加解析插件：单击添加处理插件，根据实际格式配置正则解析、分隔符解析、JSON 解析等插件。此处以采集NGINX日志为例，选择原生处理插件 > NGINX模式解析。

2. NGINX日志配置：将 Nginx 服务器配置文件（nginx.conf）中的 log_format 定义完整地复制并粘贴到此文本框中。

   示例：

   log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$request_time $request_length ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent"';

   重要

   此处的格式定义必须与服务器上生成日志的格式完全一致，否则将导致日志解析失败。

3. 通用配置参数说明：以下参数在多种数据解析插件中都会出现，其功能和用法是统一的。

   • 原始字段：指定要解析的源字段名。默认为content，即采集到的整条日志内容。

   • 解析失败时保留原始字段：推荐开启。当日志无法被插件成功解析时（例如格式不匹配），此选项能确保原始日志内容不会丢失，而是被完整保留在指定的原始字段中。

   • 解析成功时保留原始字段：选中后，即使日志解析成功，原始日志内容也会被保留。

配置步骤：全局配置 > 其他全局配置 > 日志主题类型：选择Topic生成方式，支持如下三种类型：

• 机器组Topic：采集配置应用于多个机器组时，LoongCollector 会自动使用服务器所属的机器组名称作为 __topic__ 字段上传。适用于按主机划分日志场景。

• 自定义：格式为customized://<自定义主题名>，例如 customized://app-login。适用于固定业务标识的静态主题场景。

• 文件路径提取：从日志文件的完整路径中提取关键信息，动态标记日志来源。适用于多用户/应用共用相同日志文件名但路径不同的情况。当多个用户或服务将日志写入不同顶级目录，但下级路径和文件名一致时，仅靠文件名无法区分来源，例如：

  /data/logs ├── userA │ └── serviceA │ └── service.log ├── userB │ └── serviceA │ └── service.log └── userC └── serviceA └── service.log

  此时您可以配置文件路径提取，并使用正则表达式从完整路径中提取关键信息，将匹配结果作为日志主题（Topic）上传至Logstore。

  文件路径提取规则：基于正则表达式的捕获组

  在配置正则表达式时，系统根据捕获组的数量和命名方式自动决定输出字段格式，规则如下：

  文件路径的正则表达式中，需要对正斜线（/）进行转义。

  捕获组类型	适用场景	生成字段	正则示例	匹配路径示例	生成字段示例
  单捕获组（仅一个 (.*?)）	仅需一个维度区分来源（如用户名、环境）	生成__topic__字段	\/logs\/(.*?)\/app\.log	/logs/userA/app.log	__topic__：userA
  多捕获组-非命名（多个 (.*?)）	需要多个维度区分来源但无需语义标签	生成tag字段__tag__:__topic_{i}__，其中{i}为捕获组的序号	\/logs\/(.*?)\/(.*?)\/app\.log	/logs/userA/svcA/app.log	__tag__:__topic_1__userA； __tag__:__topic_2__svcA
  多捕获组-命名（使用 (?P<name>.*？)	需要多个维度区分来源且希望字段含义清晰、便于查询与分析	生成tag字段__tag__:{name}	\/logs\/(?P<user>.*?)\/(?P<service>.*?)\/app\.log	/logs/userA/svcA/app.log	__tag__:user:userA； __tag__:service:svcA

默认情况下，日志服务为了避免数据重复，限制一个文本日志文件只能被一个Logtail配置采集。若需实现同一日志文件被多个采集配置同时采集，需要手动开启允许文件多次采集功能。

操作步骤：

1. 登录日志服务控制台，进入目标Project。

2. 在左侧导航栏选择日志库，找到目标Logstore。

3. 单击其名称前的展开Logstore。

4. 单击Logtail配置，在配置列表中，找到目标Logtail配置，单击操作列的管理Logtail配置。

5. 在Logtail配置页面，单击编辑：

   • 输入配置 > 其他输入配置，开启允许文件多次采集。

6. 配置完成后，单击保存。

通过正则表达式提取日志字段，并将日志解析为键值对形式，每个字段都可以被独立查询和分析。

127.0.0.1 - - [16/Aug/2024:14:37:52 +0800] "GET /wp-admin/admin-ajax.php?action=rest-nonce HTTP/1.1" 200 41 "http://www.example.com/wp-admin/post-new.php?post_type=page" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"

body_bytes_sent: 41 http_referer: http://www.example.com/wp-admin/post-new.php?post_type=page http_user_agent: Mozilla/5.0 (Windows NT 10.0; Win64; ×64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0 remote_addr: 127.0.0.1 remote_user: - request_method: GET request_protocol: HTTP/1.1 request_uri: /wp-admin/admin-ajax.php?action=rest-nonce status: 200 time_local: 16/Aug/2024:14:37:52 +0800

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > 正则解析：

• 正则表达式：用于匹配日志，支持自动生成或手动输入：

  • 自动生成：

    • 单击自动生成正则表达式。

    • 在日志样例中划选需要提取的日志内容。

    • 单击生成正则。

      

  • 手动输入：根据日志格式手动输入正则表达式。

  配置完成后，单击验证，测试正则表达式是否能够正确解析日志内容。

• 日志提取字段：为提取的日志内容（Value），设置对应的字段名（Key）。

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

通过分隔符将日志内容结构化，解析为多个键值对形式，支持单字符分隔符和多字符分隔符。

05/May/2025:13:30:28,10.10.*.*,"POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1",200,18204,aliyun-sdk-java

ip:10.10.*.* request:POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1 size:18204 status:200 time:05/May/2025:13:30:28 user_agent:aliyun-sdk-java

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理 > 分隔符解析：

• 分隔符：指定用于切分日志内容的字符。

  示例：对于CSV格式文件，选择自定义，输入半角逗号（,）。

• 引用符：当某个字段值中包含分隔符时，需要指定引用符包裹该字段，避免错误切割。

• 日志提取字段：按分隔顺序依次为每一列设置对应的字段名称（Key）。规则要求如下：

  • 字段名只能包含：字母、数字、下划线（_）。

  • 必须以字母或下划线（_）开头。

  • 最大长度：128字节。

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

将Object类型的JSON日志结构化，解析为键值对形式。

{"url": "POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek********&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1", "ip": "10.200.98.220", "user-agent": "aliyun-sdk-java", "request": {"status": "200", "latency": "18204"}, "time": "05/Jan/2025:13:30:28"}

ip: 10.200.98.220 request: {"status": "200", "latency" : "18204" } time: 05/Jan/2025:13:30:28 url: POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek******&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1 user-agent:aliyun-sdk-java

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > JSON解析：

• 原始字段：默认值为content（此字段用于存放待解析的原始日志内容）。

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

通过指定展开深度，将嵌套的JSON日志解析为键值对形式。

{"s_key":{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}}

0_s_key_k1_k2_k3_k41:41 0_s_key_k1_k2_k3_k4_k51:51 0_s_key_k1_k2_k3_k4_k52:52

1_s_key:{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择拓展处理插件 > 展开JSON字段：

• 原始字段：需要展开的原始字段名，例如content。

• JSON展开深度：JSON对象的展开层级。0表示完全展开（默认值），1表示当前层级，以此类推。

• JSON展开连接符：JSON展开时字段名的连接符，默认为下划线 _。

• JSON展开字段前缀：指定JSON展开后字段名的前缀。

• 展开数组：开启此项可将数组展开为带索引的键值对。

  示例：{"k":["a","b"]} 展开为  {"k[0]":"a","k[1]":"b"}。

  如果需要对展开后的字段进行重命名（例如，将 prefix_s_key_k1 改为 new_field_name），可以后续再添加一个重命名字段插件来完成映射。

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

使用json_extract函数，从JSON数组中提取JSON对象。

效果示例：

[{"key1":"value1"},{"key2":"value2"}]

json1:{"key1":"value1"} json2:{"key2":"value2"}

配置步骤：在Logtail配置页面的处理配置区域，将处理模式切换为SPL，配置SPL语句，使用  json_extract函数从JSON数组中提取JSON对象。

示例：从日志字段 content 中提取 JSON 数组中的元素，并将结果分别存储在新字段 json1和 json2 中。

* | extend json1 = json_extract(content, '$[0]'), json2 = json_extract(content, '$[1]')

根据Apache日志配置文件中的定义将日志内容结构化，解析为多个键值对形式。

1 192.168.1.10 - - [08/May/2024:15:30:28 +0800] "GET /index.html HTTP/1.1" 200 1234 "https://www.example.com/referrer" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.X.X Safari/537.36"

http_referer:https://www.example.com/referrer http_user_agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.X.X Safari/537.36 remote_addr:192.168.1.10 remote_ident:- remote_user:- request_method:GET request_protocol:HTTP/1.1 request_uri:/index.html response_size_bytes:1234 status:200 time_local:[08/May/2024:15:30:28 +0800]

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > APACHE模式解析：

• 日志格式：combined。

• APACHE配置字段：系统会根据日志格式自动填充配置。

  重要

  请务必核对自动填充的内容，确保与服务器上 Apache 配置文件（通常位于/etc/apache2/apache2.conf）中定义的 LogFormat 完全一致。

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

根据IIS日志格式定义将日志内容结构化，解析为多个键值对形式。

对比示例：

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

c-ip: cs-username cs-bytes: sc-substatus cs-method: cs-method cs-uri-query: cs-uri-query cs-uri-stem: cs-uri-stem cs-username: s-port date: #Fields: s-computername: s-sitename s-ip: s-ip s-sitename: time sc-bytes: sc-status sc-status: c-ip sc-win32-status: cs (User-Agent) time: date time-taken: sc-win32-status

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > IIS模式解析：

• 日志格式：选择您的IIS服务器日志采用的日志格式。

  • IIS：Microsoft IIS日志文件格式。

  • NCSA：NCSA公用日志文件格式。

  • W3C：W3C扩展日志文件格式。

• IIS配置字段：选择IIS或NCSA时，日志服务已默认设置了IIS配置字段，选择W3C时，设置为您的IIS配置文件中logExtFileFlags参数中的内容。例如：

  logExtFileFlags="Date, Time, ClientIP, UserName, SiteName, ComputerName, ServerIP, Method, UriStem, UriQuery, HttpStatus, Win32Status, BytesSent, BytesRecv, TimeTaken, ServerPort, UserAgent, Cookie, Referer, ProtocolVersion, Host, HttpSubStatus"

• 其他参数请参考场景二：结构化日志中的通用配置参数说明。

对日志中的敏感数据进行脱敏处理。

效果示例：

[{'account':'1812213231432969','password':'04a23f38'}, {'account':'1812213685634','password':'123a'}]

[{'account':'1812213231432969','password':'********'}, {'account':'1812213685634','password':'********'}]

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > 脱敏处理：

• 原始字段：解析日志前，用于存放日志内容的原始字段。

• 脱敏方式：

  • const：将敏感内容替换成所修改的字符串。

  • md5：将敏感内容替换为其对应的MD5值。

• 替换字符串：选择脱敏方式为const时，需要输入字符串，用于替换敏感内容。

• 被替换内容前的内容表达式：用于查找敏感内容，使用RE2语法配置。

• 被替换的内容表达式：敏感内容的表达式，使用RE2语法配置。

对日志中的时间字段进行解析，并将解析结果设置为日志的__time__字段。

效果示例：

{"level":"INFO","timestamp":"2025-09-23T19:11:47+0800","cluster":"yilu-cluster-0728","message":"User logged in successfully","userId":"user-123"}

配置步骤：在Logtail配置页面的处理配置区域，单击添加处理插件，选择原生处理插件 > 时间解析：

• 原始字段：解析日志前，用于存放日志内容的原始字段。

• 时间格式：根据日志中的时间内容设置对应的时间格式。

• 时区：选择日志时间字段所在的时区。默认使用机器时区，即LoongCollector（Logtail）进程所在环境的时区。