导入应用日志

EventLog Analyzer提供了导入任何平面日志文件的选项，并为Windows (EVTX格式)设备、syslog设备、应用程序和归档文件提供预定义报表。该功能支持以下列出的预定义日志格式。

Windows和syslog设备日志格式

• Windows事件日志(EVTX格式)
• IBM AS/400
• Linux/Unix Syslog格式(RFC 5424和2131)

注意: 要导入.evt日志(Windows XP和Windows 2003)，您需要将其转化为.evtx格式的日志，在EventLog Analyzer安装机器中使用命令wevtutil export-log application.evt application.evtx /lf进行转化。

应用日志格式

• Apache访问日志
• DHCP Linux日志
• DHCP Windows日志
• IBM Maximo日志
• IIS W3C FTP日志
• IIS W3C Web Server日志
• MSSQL Server日志
• MySQL日志

归档文件日志格式

• Cisco归档文件
• Syslog归档文件
• Windows归档文件

除了上面提到的日志格式之外，EventLog Analyzer还提供了自定义现有日志格式和创建新的日志格式的选项。

进入导入日志文件页面，有以下几种方式：

• +添加 >导入日志
• 设置 > 配置 > 导入日志数据
• 主页 > 应用 > 导入的日志
• 主页 > 应用 > 动作 > +导入

EventLog Analyzer中导入日志文件的方法

EventLog Analyzer allows you to import:

• 本地路径的日志文件
• 共享路径的日志文件
• 远程路径的日志文件

导入本地路径的日志文件

有了这个选项，您就可以从任何能够访问EventLog Analyzer的设备中导入日志文件。

注意: 日志不能计划时间间隔导入。

1. 在文件位置选项中，选择本地路径。
2. 点击浏览从本地设备中选择必要的文件。或者，您可以输入设备的设备名（或）IP地址（或）指定完整的UNC路径，然后点击打开。选择必需的文件。
3. 如果您知道日志文件的日志格式，请从给定的下拉菜单中选择日志格式。如果您不知道日志文件的日志格式，请选择自动验证。

   注意: 点击“查看文件/提取字段”，在弹出的浏览器窗口中您可以预览所选日志文件，并提取所需的字段。

4. 点击+ 按钮，选择日志文件关联的设备并点击添加。您还可以直接输入设备的名称。
5. 如果您希望将导入的日志存储2天，请启用短期保存日志。默认情况下，日志存储的时间周期为32天。
6. 点击导入。

导入共享路径或UNC路径的日志文件

通过通用命名规则路径导入的日志文件允许您访问局域网(LAN)上的共享网络文件夹。

1. 在文件位置选项中，选择共享路径。
2. 输入要上传的日志文件所在的设备名或IP地址。或者，您还可以点击浏览来选择一个Windows设备。
3. 从设备中选择想要的文件然后点击选择。选择必需的文件。
4. 如果您知道日志文件的日志格式，请从给定的下拉菜单中选择日志格式。如果您不知道日志文件的日志格式，请选择自动验证。

   注意: 点击“查看文件/提取字段”，在弹出的浏览器窗口中您可以预览所选日志文件，并提取所需的字段。

5. 点击+ 按钮，选择日志文件关联的设备并点击添加。您还可以直接输入设备的名称。
6. 如果您希望将导入的日志存储2天，请启用短期保存日志。默认情况下，日志存储的时间周期为32天。
7. 如果您希望定期自动导入日志文件，请启用计划日志导入选项。
8. 在计划下拉菜单中，您可以自定义时间间隔 。
9. 此外，您可以使用给定的时间格式选项，为日志文件构建一个文件名模式。按照文件名模式更新在指定时间存储的文件。
10. 点击导入。

导入远程路径的日志文件

要从远程路径导入日志文件，您需要使用正在尝试访问的设备的凭据(用户名和密码)。

1. 在文件位置选项中，选择远程路径。
2. 输入要上传的日志文件所在的设备名或IP地址。或者，您还可以点击浏览来选择一个Windows设备。
3. 从设备中选择想要的文件然后点击选择。选择必需的文件。
4. 选择所需的协议(SMB-Windows、FTP和SFTP)，并输入端口号。
5. 输入远程设备的凭证-用户名和密码。
6. 如果您知道日志文件的日志格式，请从给定的下拉菜单中选择日志格式。如果您不知道日志文件的日志格式，请选择自动验证。

   注意: 点击“查看文件/提取字段”，在弹出的浏览器窗口中您可以预览所选日志文件，并提取所需的字段。

7. 点击+ 按钮，选择日志文件关联的设备并点击添加。您还可以直接输入设备的名称。
8. 如果您希望将导入的日志存储2天，请启用短期保存日志。默认情况下，日志存储的时间周期为32天。
9. 如果您希望定期自动导入日志文件，请启用计划日志导入选项。
10. 在计划下拉菜单中，您可以自定义时间间隔 。
11. 此外，您可以使用给定的时间格式选项，为日志文件构建一个文件名模式。按照文件名模式更新在指定时间存储的文件。
12. 点击导入。

在选择您需要导入的日志文件，点击高级选择编码类型和导入日志的时区。

文件编码

EventLog Analyzer支持不同编码类型的日志文件。您可以选择您要导入的编码类型的日志文件。默认编码类型是UTF-8。

时区

EventLog Analyzer基于导入日志所记录时间选择时区。默认是配置EventLog Analyzer server服务器的时区。

EventLog Analyzer仅支持错误日志和MySQL常规日志。 MySQL登录失败日志属于MySQL常规查询日志。

在MySQL启用日志，

• 打开my.cnf 文件 (Linux) 或 my.ini 文件 (Windows) 并将以下条目添加到文件中。
• 对于错误日志: log_error=<error-log-file-name>
• 对于常规日志:
  • >= v5.1.29:
    general_log_file=<general-log-file-name>
    general_log=1 (or) ON
  • < v5.1.29:
    log=<log-file-name>
• 重启MySQL实例，更改生效。

在EventLog Analyzer导入MySQL日志，

• 您可以从本地路径, 共享路径 , 或 远程路径导入MySQL日志。
• 导入MySQL日志文件，您需要手动选择日志格式。选择正确文件后，在下拉菜单选择文件部分日志格式，选择MySQL 日志。
• 点击 导入 启动日志导入。

故障排除

如果您无法导入日志文件，请确保以下信息：

1. 使用的凭证有效并且有必要的权限。
2. 设备可达。
3. 指定的文件存在并且可访问。
4. 从下拉菜单中选择的日志文件格式与所选的文件格式一致。

从日志中提取字段

1. 在字段提取页面中有默认的10个字段，从中您可以选择提取想要的字段。当然，您也可以删除或修改这些默认字段。

2. 您还可以通过点击日志信息右上角的工具图标，创建自定义字段。

    

自定义字段提取

1. 选择并点击要提取的字段。

2. 提供 字段名 和合适的 前缀 与 后缀 帮助准确地提取字段。然后点击'创建模式'。

3. 模式生成之后， 点击 验证 模式。如果生成的模式不能匹配您的标准，请点击 选择 其它模式，从中选择一个合适的模式。

4. 按照您的要求生成模式之后，请点击 保存模式 保存提取的字段。

a. 现在，自定义字段也显示在左窗格中。

b. 点击立即导入 按钮 导入自定义日志。 现在导入的自定义日志将拥有所有的自定义和默认字段。

导入的日志文件列表

您可以在EventLog Analyzer中查看所有导入的日志文件的列表。该页面提供了导入日志文件的详细信息，包括:文件名、设备、监视间隔、导入日志文件的时间、日志格式和日志文件的大小。