问题标签 [sumologic]

我将在没有 .NET Core 的情况下在 .NET Framework 4.5 中实现 SumoLogic 日志记录功能。我几乎已经实现了，但日志没有提交到 SumoLogic 网站。我认为代码缺少要实现的东西或 Sumologic 只支持 .NET Core。

我的所有日​​志中都有一个跟踪 id（它标识了基础设施内的单个请求）。有没有办法搜索关键字，例如“错误”，并获取包含关键字“错误”的所有日志，以及与匹配的日志具有相同跟踪 ID 的所有日志条目错误？

使用 sumologic，我如何对消息部分为 json（所以不完全）的日志条目执行查询？

示例条目：

[2020-04-30 02:10:32] 生产。警告：我们受到速率限制 {"class":"App\WebhookService\WebhookExecutor","headers":{"Date":["Thu, 30 Apr 2020 02 :10:32 GMT"],"Content-Type":["application/json"],"Content-Length":["88"],"Connection":["keep-alive"],"Set-Cookie “：……

我有很多具有不同类路径的此类错误，有些是 webhook 执行，有些是不同的对象。我的最终目标是能够计算每个类名的日志条目，如下所示：

我从以下内容开始：

"We were rate limited" | json auto | json "class"

我对 ^ 的期望是它会class在我的日志搜索结果中创建一个名为的列，然后我可以按此分组、计数等。

我有一个解析字段，我需要计算给定字符串出现在其中的次数。这似乎相对简单，但我一直在搜索 Sumo 文档，现在我不确定这是否可能。请帮忙！

如果在 60 分钟内记录了超过 10 个错误，我们会发出 SumoLogic 警报。
我更喜欢这样的东西： 

1. 如果出现峰值并且所有错误都在例如 1 分钟内发生（认为问题已自动解决），则不生成警报。

如何设置这样的 sumoLogic 查询？

要求的差异：

2. 日志有 clientIp 字段，如果所有错误都是针对同一个客户端报告的，则不生成警报（特定客户端的问题，而不是应用程序的问题）

3. 如果 60 分钟内记录的错误超过 10 个，则发送警报，除非错误是 A 类错误，但如果 A 类错误超过 100 个，则发送警报。（可以接受 A 类日志错误，除非错误数量太大了）

4. 如果在 60 分钟内记录了超过 10 个错误，则发送警报仅当最后一个错误发生在 30 分钟之前（否则视为自动修复）

我正在尝试在 Sumo Logic 中摄取 Cloudwatch 日志。它适用于指标，但不适用于日志。当我尝试执行日志搜索查询时

什么都没有检索到。

如果我在metrics中做同样的事情，它会起作用。所以问题似乎出在日志上。

这是上下文以及我如何设置它

首先，我使用他们的模板创建了一个角色。但由于它不起作用，我向 AWS Cloudwatch 和 AWS Logs 添加了开放权限（操作顶部）：

然后，我使用向导设置流数据。它没有出现 AWS CloudWatch Logs，但出现了 AWS CloudWatch Metrics。（这可能与我的问题有关吗？）

对于源类别：aws/cloudwatch 区域：us-east-1

要包括的命名空间：AWS/Logs AWS/Lambda

在角色中，我粘贴了之前创建的角色的 ARN。

正如我之前所说，我可以使用指标和按指标查询，但不能查询日志。我是 AWS 和 Sumo 的新手，我不知道我错过了什么。

我会很感激建议。

So I have a log in this format:

I would like to extract out the status within the log field. After reading the docs it looks like I should be able to do:

However, that throws a syntax error for .

Another solution I thought is that based upon how other languages work, piping usually returns the object so if I could incrementally return fields this should work:

But that also doesn't work.

I've tried specifying a given field this this:

But that doesn't work.

I've also tried directly pulling that value using field like this:

Finally, I tried doing all of these variations:

But to no avail.

Any ideas where I'm going wrong?

我目前正在将Sumo Logic集成到AWS EKS集群中。在阅读了Sumo Logic关于与 k8s 集成的文档后，我已经了解了以下安装步骤部分。文档的这一部分是一个岔路口，必须弄清楚是否要继续安装：

• 与您现有的 Prometheus Operator 并排
• 并更新您现有的 Prometheus Operator
• 使用您的独立 Prometheus（不使用 Prometheus Operator）
• 没有预先存在的 Prometheus 安装

话虽如此，我正试图找出我不确定的情况。让我解释一下，在进行 Sumo Logic 集成之前，我已经完成了New Relic 集成，这让我想知道它是否以任何可能干扰 Sumo Logic 集成的方式使用 Prometheus？

所以为了弄清楚我开始执行：

如您所见，New Relic 正在运行nri-bundle-nri-prometheus-ccd7b7fbd-2npvn，这似乎与 Kubernetes 或 Docker 的 New Relic OpenMetric 集成相对应。浏览 New Relic 的文档，我发现：

我们目前提供两种集成选项：

• Prometheus 远程写入集成。如果您当前拥有 Prometheus 服务器并希望从 New Relic 轻松访问您的组合指标，请使用此选项。
• 用于 Kubernetes 或 Docker 的 Prometheus OpenMetrics 集成。如果您正在寻找 Prometheus 服务器的替代品或替代品并将所有指标直接存储在 New Relic 中，请使用此功能。

因此，据我所知，我没有运行Prometheus 服务器或操作员，我可以按照专用于安装的部分继续进行 Sumo Logic 集成设置，而无需预先安装 Prometheus吗？这就是我要澄清的问题，想知道是否有人可以提供帮助，因为我是Kubernetes和Prometheus的新手。

我想使用 Sumo Logic 自动设置 AWS Application Load Balancer 日志的收集，如下所述：

https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Elastic_Load_Balancer_-_Application/01_Collect_Logs_for_the_AWS_Elastic_Load_Balancer_Application_App

这包括创建一个存储桶，使用 S3 源创建一个 Sumo Logic 托管收集器，获取 Sumo Logic 提供的收集器源的 URL，然后使用 HTTP 订阅创建一个 SNS 主题，其中订阅 URL 是 Sumo Logic 提供的一个资源。

问题在于 SumoLogic 源 URL 在合成时未知。必须部署 Bucket，然后创建 Sumlogic 事物，然后创建 SNS 主题。

尽我所能，我将不得不通过使用单独的堆栈单独调用 CDK 来做到这一点，这比较慢。一个堆栈来创建存储桶。部署该堆栈后，使用 Sumo Logic api 创建或确认之前创建的 Sumo Logic 托管收集器和源，另一个 CDK 部署以创建 SNS 主题和 HTTP 订阅。

我只是想知道是否有人知道这样做的更好方法，也许是某种可以使用的部署时间挂钩。

当我使用 Firelens 日志驱动程序创建 ApplicationLoadBalancedFargateService 并且应用程序将 JSON 行作为日志消息写入时，例如使用带有 Logback 的 net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder 时，日志消息会显示在我的日志存储库中（例如 Sumo Logic)，作为转义字符串，例如：

如何获取日志消息以保存为解析的 JSON？