我正在尝试在 GCP 中创建一个基于日志的指标,以用于警报规则(StackDriver,现在是 GCP 的一部分)。来源是 HTTPS (L7) LB 日志。经过大量试验和错误后,我发现如果我使用基于正则表达式的过滤器,我的指标不起作用(注意:基于正则表达式的标签提取工作,在下面描述的更改之后)。
具体来说,如果我的过滤器看起来像这样:
httpRequest.status=403
httpRequest.requestMethod="GET"
httpRequest.requestUrl=~"^.*some/regex/pattern/.*$"
单击“提交过滤器”后,我确实看到了过滤的日志条目,当我设置基于正则表达式的标签提取器时,我还看到了示例记录/标签,但在指标资源管理器中,时间序列中没有任何数据。但是,如果我更改过滤器以进行纯全文子字符串匹配,即
httpRequest.status=403
httpRequest.requestMethod="GET"
"some/substring/match"
它确实有效 - 我确实在指标资源管理器中看到了时间序列。
请注意,这不是时间问题,我还不够耐心。通过在两个过滤器之间切换,我可以可靠地使其工作(或不工作)。
这对我来说是个问题,因为我确实需要请求 URL 上的正则表达式匹配;子字符串匹配不够复杂,此外,我想确保只匹配请求 URL,而不是引用者。虽然我基本上可以使用更粗略的过滤器(即使这会破坏指标),但这会导致我的警报规则出现另一个问题,因为我无法过滤掉不匹配项——提取的标签没有值,甚至label !=~ [[:space:]]*没有无法在警报级别过滤掉不匹配项,因为缺少标签值显然与空标签值不同。由于过于粗略的日志过滤器而导致的 FP 警报对我来说是个大问题。
如果这是预期的行为,我会感谢突出显示此限制的文档的链接。