Dichiarazioni delle origini - Amazon Kinesis Agent per Microsoft Windows
Configurazione DirectorySourceConfigurazione ExchangeLogSourceConfigurazione W3SVCLogSourceConfigurazione UlsSourceConfigurazione WindowsEventLogSourceConfigurazione WindowsEventLogPollingSourceConfigurazione WindowsETWEventSourceConfigurazione WindowsPerformanceCounterSourceOrigine dei parametri integrati di Kinesis Agent per WindowsElenco delle metriche di Kinesis Agent per WindowsConfigurazione del segnalibro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dichiarazioni delle origini

In Amazon Kinesis Agent per Microsoft Windows,Dichiarazioni delle originidescrivono dove e quali dati di registro, evento e metrica devono essere raccolti. Inoltre, è possibile specificare le informazioni per l'analisi dei tali dati in modo che possano essere trasformati. Le seguenti sezioni descrivono le configurazioni per i tipi di origine integrati che sono disponibili in Kinesis Agent per Windows. Poiché Kinesis Agent per Windows è ampliabile, è possibile aggiungere tipi di origine personalizzati. Ogni tipo di origine di solito richiede coppie chiave-valore specifiche negli oggetti di configurazione che sono rilevanti per quel tipo di origine.

Tutte le dichiarazioni di origini devono contenere almeno le seguenti coppie chiave-valore:

Id

Una stringa univoca che identifica un determinato oggetto di origine all'interno del file di configurazione.

SourceType

Il nome del tipo di origine per questo oggetto origine. Il tipo di origine specifica l'origine dei dati di log, eventi o parametri raccolti da tale oggetto. Controlla anche quali altri aspetti dell'origine possono essere dichiarati.

Per esempi di file di configurazione completi che utilizzano diversi tipi di dichiarazioni di origini, vedi Streaming da diverse origini a Kinesis Data Streams.

Configurazione DirectorySource

Overview

Il tipo di origine DirectorySource raccoglie i log di file memorizzati nella directory specificata. Poiché i file di log sono disponibili in molti formati diversi, la dichiarazione DirectorySource consente di specificare il formato dei dati nel file di log. Quindi è possibile trasformare i contenuti dei log in un formato standard, ad esempio JSON o XML, prima di eseguire lo streaming a vari servizi AWS.

Di seguito è riportato un esempio della dichiarazione DirectorySource:

{
	   "Id": "myLog",
	   "SourceType": "DirectorySource",
	   "Directory": "C:\\Program Data\\MyCompany\\MyService\\logs",
	   "FileNameFilter": "*.log",
	   "IncludeSubdirectories": true,
	   "IncludeDirectoryFilter": "cpu\\cpu-1;cpu\\cpu-2;load;memory",
	   "RecordParser": "Timestamp",
	   "TimestampFormat": "yyyy-MM-dd HH:mm:ss.ffff",
	   "Pattern": "\\d{4}-\\d{2}-\\d(2}",
	   "ExtractionPattern": "",
	   "TimeZoneKind": "UTC",
	   "SkipLines": 0,
	   "Encoding": "utf-16",
	   "ExtractionRegexOptions": "Multiline"
}

Tutte le dichiarazioni DirectorySource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "DirectorySource" (obbligatoria).

Directory

Il percorso alla directory contenente i file di log (obbligatorio).

FileNameFilter

Eventualmente limita il set di file nella directory in cui i dati di log sono raccolti in base al modello di denominazione dei file jolly. Se si dispone di più modelli di nomi di file di registro, questa funzionalità consente di utilizzare un singoloDirectorySource, come mostrato nell'esempio seguente.

FileNameFilter: "*.log|*.txt"

Gli amministratori di sistema a volte comprimere i file di registro prima di archiviarli. Se si specifica"*.*"inFileNameFilter, i file compressi noti sono ora esclusi. Questa funzione impedisce.zip,.gz, e.bz2di essere trasmessi accidentalmente. Se questa coppia chiave-valore non viene specificata, i dati provenienti da tutti i file nella directory sono raccolti per impostazione predefinita.

IncludeSubdirectories

Specifica di monitorare le sottodirectory a profondità arbitraria limitata dal sistema operativo. Questa funzione è utile per monitorare i server Web con più siti Web. È possibile utilizzare anche l'IncludeDirectoryFilterper monitorare solo alcune sottodirectory specificate nel filtro.

RecordParser

Specifica il modo in cui il tipo di origine DirectorySource deve analizzare i file di log disponibili nella directory specificata. Questa coppia chiave-valore è obbligatoria e i valori validi sono i seguenti:

  • SingleLine— Ogni riga del file di log è un record di log.

  • SingleLineJson— Ogni riga del file di log è un record di log in formato JSON. Questo parser è utile quando si desidera aggiungere ulteriori coppie chiave-valore al JSON tramite la decorazione degli oggetti. Per ulteriori informazioni, consulta Configurazione delle decorazioni sink. Per un esempio che utilizza il parser di recordSingleLineJson, consulta Tutorial: Trasmetti file di registro JSON ad Amazon S3 utilizzando Kinesis Agent per Windows.

  • Timestamp: Una o più righe possono includere un record di log. I record di log iniziano con un timestamp. Questa opzione richiede di specificare la coppia chiave-valore TimestampFormat.

  • Regex— Ogni record inizia con il testo che corrisponde a una determinata espressione regolare. Questa opzione richiede di specificare la coppia chiave-valore Pattern.

  • SysLog— Indica che il file di log viene scritto nellasyslogformato standard. Il file di log viene analizzato in record in base a tali specifiche.

  • Delimited— Una versione più semplice del parser di record Regex in cui gli elementi dei dati nei record di log sono separati da un delimitatore coerente. Questa opzione è più facile da usare e più veloce nell'esecuzione rispetto al parser Regex ed è da preferire quando questa opzione è disponibile. Quando si utilizza questa opzione, è necessario specificare la coppia chiave-valore Delimiter.

TimestampField

Specifica quale campo JSON contiene il timestamp per il record. Questo viene utilizzato solo con SingleLineJson RecordParser. Questa coppia chiave-valore è facoltativa. Se non viene specificato, Kinesis Agent per Windows usa l'ora in cui il record è stato letto per il timestamp. Uno dei vantaggi di specificare questa coppia chiave-valore è che le statistiche di latenza generate da Kinesis Agent per Windows sono più accurate.

TimestampFormat

Specifica come analizzare la data e l'ora associati al record. Il valore è una stringa con il formato epoch o una stringa data/ora .NET. Se il valore è epoch, l'ora viene analizzata in base all'ora UNIX Epoch. Per ulteriori informazioni sull'ora UNIX Epoch, consulta Ora Unix. Per ulteriori informazioni sulle stringhe di formato data/ora .NET, consulta Stringhe personalizzate nel formato data e ora nella documentazione di Microsoft .NET). Questa coppia chiave-valore è obbligatoria solo se viene specificato il parser di record Timestamp oppure il parser di record SingleLineJson viene specificato con la coppia chiave-valore TimestampField.

Pattern

Specifica un'espressione regolare che deve corrispondere alla prima riga di un record potenzialmente multiriga. Questa coppia chiave-valore è necessaria solo per il parser di record Regex.

ExtractionPattern

Specifica un'espressione regolare che deve utilizzare gruppi denominati. Il record è analizzato con l'utilizzo di questa espressione regolare e i gruppi denominati formano i campi del record analizzato. Questi campi vengono quindi utilizzati come base per la costruzione di oggetti o documenti JSON o XML, che sono poi trasmessi dai sink ai vari servizi AWS. Questa coppia chiave-valore è facoltativa ed è disponibile con l'Regexe il parser Timestamp.

Il nome del gruppo Timestamp viene appositamente elaborato, poiché indica al parser Regex quale campo contiene la data e l'ora per ogni record di ciascun file di log.

Delimiter

Specifica il carattere o la stringa che separa ciascun elemento in ogni record di log. Questa coppia chiave-valore deve essere (e può solo essere) disponibile solo con il parser di record Delimited. Utilizzare la sequenza di due caratteri \t per rappresentare il carattere di tabulazione.

HeaderPattern

Specifica un'espressione regolare per la riga corrispondente nel file di log che contiene il set di intestazioni per il record. Se il file di log non contiene le informazioni dell'intestazione, utilizzare la coppia chiave-valore Headers per specificare le intestazioni implicite. La coppia chiave-valore HeaderPattern è facoltativa ed è solo valida per il parser di record Delimited.

Nota

Una voce di intestazione vuota (lunghezza 0) per una colonna comporta che i dati per quella colonna vengono filtrati dall'output finale dell'output analizzato DirectorySource.

Headers

Specifica i nomi delle colonne di dati analizzati utilizzando il delimitatore specificato. Questa coppia chiave-valore è facoltativa ed è solo valida per il parser di record Delimited.

Nota

Una voce di intestazione vuota (lunghezza 0) per una colonna comporta che i dati per quella colonna vengono filtrati dall'output finale dell'output analizzato DirectorySource.

RecordPattern

Specifica un'espressione regolare che identifica righe del file di log che contengono dati di record. A parte la riga di intestazione facoltativa identificata da HeaderPattern, le righe che non corrispondono al RecordPattern specificato vengono ignorate durante l'elaborazione dei record. Questa coppia chiave-valore è facoltativa ed è solo valida per il parser di record Delimited. Se non viene fornito, il valore di default è da considerare qualsiasi riga che non corrisponde all'opzionale HeaderPattern o l'opzionale CommentPattern come riga che contiene i dati dei record analizzabili.

CommentPattern

Specifica un'espressione regolare che identifica le righe del file di log che devono essere escluse prima di analizzare i dati nel file di log. Questa coppia chiave-valore è facoltativa ed è solo valida per il parser di record Delimited. Se non viene fornito, il valore di default è da considerare qualsiasi riga che non corrisponde all'opzionale HeaderPattern ed è una riga che contiene i dati dei record analizzabili, a meno che non venga specificato RecordPattern.

TimeZoneKind

Specifica se il timestamp nel file di log deve essere considerato nel fuso orario locale o nel fuso orario UTC. Si tratta di un'opzione facoltativa, impostata di default su UTC. Gli unici valori validi per questa coppia chiave-valore sono Local o UTC. Il timestamp non è mai alterato, se TimeZoneKind non è specificato o se il valore è UTC. Il timestamp viene convertito in UTC quando ilTimeZoneKindIl valore èLocalSe il sink che riceve il timestamp è CloudWatch Logs, oppure il record analizzato viene inviato ad altri sink. Date e ore incorporate nei messaggi non vengono convertite.

SkipLines

Quando specificato, controlla il numero di righe ignorati all'inizio di ogni file di log prima che avvenga l'analisi dei record. Si tratta di un'opzione facoltativa e il valore di default è 0.

Encoding

Per impostazione predefinita, Kinesis Agent per Windows è in grado di rilevare automaticamente la codifica dal bytemark. Tuttavia, la codifica automatica potrebbe non funzionare correttamente su alcuni formati unicode precedenti. Nell'esempio seguente viene specificata la codifica necessaria per eseguire lo streaming di un registro di Microsoft SQL Server.

"Encoding": "utf-16"

Per un elenco dei nomi di codifica, consultaElenco delle codificazioninella documentazione di Microsoft.NET.

ExtractionRegexOptions

È possibile utilizzareExtractionRegexOptionsPer semplificare le espressioni regolari. Questa coppia chiave-valore è facoltativa. Il valore di default è "None".

L'esempio seguente specifica che l'"."l'espressione corrisponde a qualsiasi carattere incluso\r\n: .

"ExtractionRegexOptions" = "Multiline"

Per un elenco dei campi possibili per ExtractionRegexOptions, consulta leRegexOptions Enumnella documentazione di Microsoft.NET.

Parser di record Regex

È possibile analizzare i log di testo non strutturati usando il parser di record Regex insieme alle coppie chiave-valore TimestampFormat, Pattern e ExtractionPattern. Supponiamo, ad esempio, che il file di log appaia come il seguente:


[FATAL][2017/05/03 21:31:00.534][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.File: EQCASLicensingSubSystem.cpp'
[FATAL][2017/05/03 21:31:00.535][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.Line: 3999'

È possibile specificare l'espressione regolare per la coppia chiave-valore Pattern per aiutare a dividere il file di log in singole voci di log: 


^\[\w+\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]

Questa espressione regolare corrisponde alla sequenza seguente:

  1. La posizione iniziale della stringa analizzata.

  2. Uno o più caratteri di parole racchiusi in parentesi quadre.

  3. Un timestamp circondato da parentesi quadre. Al timestamp corrisponde la sequenza indicata:

    1. Anno a quattro cifre

    2. Una barra

    3. Mese di due cifre

    4. Una barra

    5. Giorno di due cifre

    6. Carattere di spazio

    7. Ora di due cifre

    8. Due punti

    9. Minuto di due cifre

    10. Due punti

    11. Secondo di due cifre

    12. Un punto

    13. Millisecondo di tre cifre

È possibile specificare il formato seguente per la coppia chiave-valore TimestampFormat per convertire il timestamp testuale in una data e un'ora:

yyyy/MM/dd HH:mm:ss.fff

È possibile utilizzare la seguente espressione regolare per estrarre i campi dei record di log tramite la coppia chiave-valore ExtractionPattern.

^\[(?<Severity>\w+)\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]\[[^]]*\]\[[^]]*\]\[[^]]*\]\[(?<SubSystem>\w+)\]\[(?<Module>\w+)\]\[[^]]*\] '(?<Message>.*)'$

Questa espressione regolare corrisponde ai seguenti gruppi in sequenza:

  1. Severity— Uno o più caratteri di parole racchiusi in parentesi quadre.

  2. TimeStamp— Consulta la descrizione precedente per il timestamp.

  3. Tre sequenze tra parentesi quadre senza nome di zero o più caratteri vengono ignorate.

  4. SubSystem— Uno o più caratteri di parole racchiusi in parentesi quadre.

  5. Module— Uno o più caratteri di parole racchiusi in parentesi quadre.

  6. Una sequenza tra parentesi quadre senza nome di zero o più caratteri viene ignorata.

  7. Uno spazio senza nome viene ignorato.

  8. Message— Zero o più caratteri racchiusi in virgolette singole.

La seguente dichiarazione di origine abbina queste espressioni regolari e il formato data ora per fornire le istruzioni complete all'agente Kinesis per Windows per l'analisi di questo tipo di file di log.

{
    "Id": "PrintLog",
    "SourceType": "DirectorySource",
    "Directory": "C:\\temp\\PrintLogTest",
    "FileNameFilter": "*.log",
    "RecordParser": "Regex",
    "TimestampFormat": "yyyy/MM/dd HH:mm:ss.fff",
    "Pattern": "^\\[\\w+\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]",
    "ExtractionPattern": "^\\[(?<Severity>\\w+)\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]\\[[^]]*\\]\\[[^]]*\\]\\[[^]]*\\]\\[(?<SubSystem>\\w+)\\]\\[(?<Module>\\w+)\\]\\[[^]]*\\] '(?<Message>.*)'$",
    "TimeZoneKind": "UTC"
}
Nota

Le barre oblique in file in formato JSON devono essere precedute da un'ulteriore barra obliqua.

Per ulteriori informazioni sulle espressioni regolari, vedere Regular Expression Language - Guida di riferimento rapida nella documentazione di Microsoft.NET.

Parser di record Delimited

È possibile usare il parser di record Delimited per analizzare file di dati e di log semistrutturati in cui vi è una sequenza di caratteri coerente che separa ogni colonna di dati in ogni riga di dati. Ad esempio, i file CSV utilizzano la virgola per separare ogni colonna di dati, mentre i file TSV utilizzano una tabulazione.

Supponiamo che si desidera analizzare un file di log Microsoft NPS Database Format creato da un server dei criteri di rete. Di seguito è riportato un possibile esempio di tale file:

"NPS-MASTER","IAS",03/22/2018,23:07:55,1,"user1","Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,0,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
"NPS-MASTER","IAS",03/22/2018,23:07:55,3,,"Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,16,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,

Il seguente file di configurazione di esempio DirectorySource include una dichiarazione appsettings.json che utilizza il parser di record Delimited per analizzare questo testo nella rappresentazione di un oggetto. Quindi, effettua lo streaming di dati in formato JSON a Kinesis Data Firehose:

{
    "Sources": [
        {
            "Id": "NPS",
            "SourceType": "DirectorySource",
            "Directory": "C:\\temp\\NPS",
            "FileNameFilter": "*.log",
            "RecordParser": "Delimited",
            "Delimiter": ",",
            "Headers": "ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version",
            "TimestampField": "{Record-Date} {Record-Time}",
            "TimestampFormat": "MM/dd/yyyy HH:mm:ss"
        }
    ],
    "Sinks": [
        {
            "Id": "npslogtest",
            "SinkType": "KinesisFirehose",
            "Region": "us-west-2",
            "StreamName": "npslogtest",
            "Format": "json"
        }
    ],
    "Pipes": [
        {
            "Id": "W3SVCLog1ToKinesisStream",
            "SourceRef": "NPS",
            "SinkRef": "npslogtest"
        }
    ]
}

I dati in formato JSON trasmessi in streaming a Kinesis Data Firehose hanno l'aspetto seguente:

{
    "ComputerName": "NPS-MASTER",
    "ServiceName": "IAS",
    "Record-Date": "03/22/2018",
    "Record-Time": "23:07:55",
    "Packet-Type": "1",
    "User-Name": "user1",
    "Fully-Qualified-Distinguished-Name": "Domain1\\user1",
    "Called-Station-ID": "",
    "Calling-Station-ID": "",
    "Callback-Number": "",
    "Framed-IP-Address": "",
    "NAS-Identifier": "",
    "NAS-IP-Address": "",
    "NAS-Port": "",
    "Client-Vendor": "0",
    "Client-IP-Address": "192.168.86.137",
    "Client-Friendly-Name": "Nate - Test 1",
    "Event-Timestamp": "",
    "Port-Limit": "",
    "NAS-Port-Type": "",
    "Connect-Info": "",
    "Framed-Protocol": "",
    "Service-Type": "",
    "Authentication-Type": "1",
    "Policy-Name": "",
    "Reason-Code": "0",
    "Class": "311 1 192.168.0.213 03/15/2018 08:14:29 1",
    "Session-Timeout": "",
    "Idle-Timeout": "",
    "Termination-Action": "",
    "EAP-Friendly-Name": "",
    "Acct-Status-Type": "",
    "Acct-Delay-Time": "",
    "Acct-Input-Octets": "",
    "Acct-Output-Octets": "",
    "Acct-Session-Id": "",
    "Acct-Authentic": "",
    "Acct-Session-Time": "",
    "Acct-Input-Packets": "",
    "Acct-Output-Packets": "",
    "Acct-Terminate-Cause": "",
    "Acct-Multi-Ssn-ID": "",
    "Acct-Link-Count": "",
    "Acct-Interim-Interval": "",
    "Tunnel-Type": "",
    "Tunnel-Medium-Type": "",
    "Tunnel-Client-Endpt": "",
    "Tunnel-Server-Endpt": "",
    "Acct-Tunnel-Conn": "",
    "Tunnel-Pvt-Group-ID": "",
    "Tunnel-Assignment-ID": "",
    "Tunnel-Preference": "",
    "MS-Acct-Auth-Type": "",
    "MS-Acct-EAP-Type": "",
    "MS-RAS-Version": "",
    "MS-RAS-Vendor": "",
    "MS-CHAP-Error": "",
    "MS-CHAP-Domain": "",
    "MS-MPPE-Encryption-Types": "",
    "MS-MPPE-Encryption-Policy": "",
    "Proxy-Policy-Name": "Use Windows authentication for all users",
    "Provider-Type": "1",
    "Provider-Name": "",
    "Remote-Server-Address": "",
    "MS-RAS-Client-Name": "",
    "MS-RAS-Client-Version": ""
}

Parser di record SysLog

Per il parser di record SysLog, l'output analizzato dalla sorgente include le informazioni riportate di seguito:

Attributo Tipo Descrizione
SysLogTimeStamp Stringa La data e l'ora originali dal file di log in formato syslog.
Hostname Stringa Il nome del computer in cui risiede il file di log in formato syslog.
Program Stringa Il nome dell'applicazione o del servizio che ha generato il file di log.
Message Stringa Il messaggio di log generato dall'applicazione o dal servizio.
TimeStamp Stringa La data e l'ora analizzati nel formato ISO 8601.

Di seguito è riportato un esempio di dati SysLog trasformati nel formato JSON:

{
    "SysLogTimeStamp": "Jun 18 01:34:56",
    "Hostname": "myhost1.example.mydomain.com",
    "Program": "mymailservice:",
    "Message": "Info: ICID 123456789 close",
    "TimeStamp": "2017-06-18T01:34.56.000"
}

Summary

Di seguito sono illustrate le coppie chiave-valore disponibili per l'origine DirectorySource e i RecordParser relativi alle coppie chiave-valore.

Nome chiave RecordParser Note
SourceType Obbligatorio per tutti Deve avere il valore DirectorySource
Directory Obbligatorio per tutti
FileNameFilter Facoltativo per tutti
RecordParser Obbligatorio per tutti
TimestampField Facoltativo per SingleLineJson
TimestampFormat Richiesto per Timestamp e per SingleLineJson se viene specificato il TimestampField
Pattern Obbligatorio per Regex
ExtractionPattern Facoltativo per Regex Richiesto per Regex se il sink specifica il formato json o xml
Delimiter Obbligatorio per Delimited
HeaderPattern Facoltativo per Delimited
Headers Facoltativo per Delimited
RecordPattern Facoltativo per Delimited
CommentPattern Facoltativo per Delimited
TimeZoneKind Facoltativo per Regex, Timestamp, SysLog e SingleLineJson quando viene identificato un campo data e ora
SkipLines Facoltativo per tutti

Configurazione ExchangeLogSource

Il tipo ExchangeLogSource viene utilizzato per raccogliere i log da Microsoft Exchange. Exchange produce log in diversi tipi di formati di log. Questo tipo di origine li analizza tutti. Sebbene sia possibile analizzarli utilizzando il tipo DirectorySource con il record parser Regex, è molto più semplice utilizzare ExchangeLogSource. Questo perché non è più necessario progettare e fornire espressioni regolari per i formati di file di log. Di seguito è riportato un esempio della dichiarazione ExchangeLogSource: 

{
   "Id": "MyExchangeLog",
   "SourceType": "ExchangeLogSource",
   "Directory": "C:\\temp\\ExchangeLogTest",
   "FileNameFilter": "*.log"
}

Tutte le dichiarazioni di scambio possono offrire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "ExchangeLogSource" (obbligatoria).

Directory

Il percorso alla directory contenente i file di log (obbligatorio).

FileNameFilter

Eventualmente limita il set di file nella directory in cui i dati di log sono raccolti in base al modello di denominazione dei file jolly. Se questa coppia chiave-valore non viene specificata, allora, per impostazione predefinita, vengono raccolti i dati di log da parte di tutti i file nella directory.

TimestampField

Il nome della colonna contenente la data e l'ora del record. Questa coppia chiave-valore è facoltativa e non deve essere specificata se il nome del campo è date-time o DateTime. Altrimenti, è obbligatoria.

Configurazione W3SVCLogSource

Il tipo W3SVCLogSource viene utilizzato per raccogliere i log da Internet Information Services (IIS) per Windows.

Di seguito è riportato un esempio della dichiarazione W3SVCLogSource: 

{
   "Id": "MyW3SVCLog",
   "SourceType": "W3SVCLogSource",
   "Directory": "C:\\inetpub\\logs\\LogFiles\\W3SVC1",
   "FileNameFilter": "*.log"
}

Tutte le dichiarazioni W3SVCLogSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "W3SVCLogSource" (obbligatoria).

Directory

Il percorso alla directory contenente i file di log (obbligatorio).

FileNameFilter

Eventualmente limita il set di file nella directory in cui i dati di log sono raccolti in base al modello di denominazione dei file jolly. Se questa coppia chiave-valore non viene specificata, allora, per impostazione predefinita, vengono raccolti i dati di log da parte di tutti i file nella directory.

Configurazione UlsSource

Il tipo UlsSource viene utilizzato per raccogliere i log da Microsoft SharePoint. Di seguito è riportato un esempio della dichiarazione UlsSource: 

{
    "Id": "UlsSource",
    "SourceType": "UlsSource",
    "Directory": "C:\\temp\\uls",
    "FileNameFilter": "*.log"
}

Tutte le dichiarazioni UlsSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "UlsSource" (obbligatoria).

Directory

Il percorso alla directory contenente i file di log (obbligatorio).

FileNameFilter

Eventualmente limita il set di file nella directory in cui i dati di log sono raccolti in base al modello di denominazione dei file jolly. Se questa coppia chiave-valore non viene specificata, allora, per impostazione predefinita, vengono raccolti i dati di log da parte di tutti i file nella directory.

Configurazione WindowsEventLogSource

Il tipo WindowsEventLogSource viene utilizzato per raccogliere gli eventi dal servizio Log eventi di Windows. Di seguito è riportato un esempio della dichiarazione WindowsEventLogSource: 

{
    "Id": "mySecurityLog",
    "SourceType": "WindowsEventLogSource",
    "LogName": "Security"
}

Tutte le dichiarazioni WindowsEventLogSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "WindowsEventLogSource" (obbligatoria).

LogName

Gli eventi vengono raccolti dal log specificato. I valori comuni includono Application, Security e System, ma è possibile specificare qualsiasi nome di log di eventi di Windows valido. Questa coppia chiave-valore è obbligatoria.

Query

Eventualmente limita gli eventi output di WindowsEventLogSource. Se questa coppia chiave-valore non viene specificata, allora, per impostazione predefinita, tutti gli eventi sono output. Per ulteriori informazioni sulla sintassi di questo valore, consulta Query ed XML di eventi nella documentazione di Windows. Per ulteriori informazioni sulle definizioni del livello di log, consulta Tipi di eventi nella documentazione di Windows.

IncludeEventData

Eventualmente consente la raccolta e lo streaming di dati di eventi specifici del provider associati a eventi dal log di eventi di Windows specificato quando il valore di questa coppia chiave-valore è "true". Vengono inclusi solo i dati di eventi che possono essere correttamente serializzati. Questa coppia chiave-valore è facoltativa e, se non è specificata, i dati di eventi specifici del provider non vengono raccolti.

Nota

L'inclusione di dati relativi a eventi potrebbe aumentare in modo significativo la quantità di dati provenienti da questa origine. La dimensione massima di un evento può essere 262.143 byte con dati relativi a eventi inclusi.

L'output analizzato da WindowsEventLogSource contiene le informazioni riportate di seguito:

Attributo Tipo Descrizione
EventId Int L'identificatore del tipo di evento.
Description Stringa Testo che descrive i dettagli dell'evento.
LevelDisplayName Stringa La categoria dell'evento (uno tra Error, Warning, Information, Success Audit, Failure Audit).
LogName Stringa Dove l'evento è stato registrato (i valori tipici sono Application, Security e System, ma ci sono molte possibilità).
MachineName Stringa Quale computer ha registrato l'evento.
ProviderName Stringa Quale applicazione o servizio ha registrato l'evento.
TimeCreated Stringa Quando si è verificato l'evento nel formato ISO 8601.
Index Int Dove si trova la voce all'interno del log.
UserName Stringa Chi ha creato la voce, se noto.
Keywords Stringa Tipo di evento. I valori standard includono AuditFailure (eventi di audit di sicurezza non riusciti), AuditSuccess (eventi di audit di sicurezza riusciti), Classic (eventi generati con la funzione RaiseEvent), Correlation Hint (eventi di trasferimento), SQM (eventi Service Quality Mechanism), WDI Context (eventi di contesto infrastrutturale della diagnostica Windows) e WDI Diag (eventi di diagnostica infrastrutturale della diagnostica Windows).
EventData Elenco di oggetti Dati aggiuntivi facoltativi specifici del provider sull'evento di log. Questo è incluso solo se il valore per la coppia chiave-valore IncludeEventData è "true".

Di seguito è illustrato un esempio di un evento trasformato in JSON:

{[ 
    "EventId": 7036, 
    "Description": "The Amazon SSM Agent service entered the stopped state.", 
    "LevelDisplayName": "Informational", 
    "LogName": "System", 
    "MachineName": "mymachine.mycompany.com", 
    "ProviderName": "Service Control Manager", 
    "TimeCreated": "2017-10-04T16:42:53.8921205Z", 
    "Index": 462335, 
    "UserName": null, 
    "Keywords": "Classic", 
    "EventData": [ 
    "Amazon SSM Agent", 
    "stopped", 
    "rPctBAMZFhYubF8zVLcrBd3bTTcNzHvY5Jc2Br0aMrxxx==" 
]}

Configurazione WindowsEventLogPollingSource

WindowsEventLogPollingSourceutilizza un meccanismo basato sul polling per raccogliere tutti i nuovi eventi dal registro eventi che corrispondono ai parametri configurati. L'intervallo di polling viene aggiornato dinamicamente tra 100 ms e 5000 ms a seconda del numero di eventi raccolti durante l'ultimo sondaggio. Di seguito è riportato un esempio della dichiarazione WindowsEventLogPollingSource:

{
    "Id": "MySecurityLog",
    "SourceType": "WindowsEventLogPollingSource",
    "LogName": "Security",
    "IncludeEventData": "true",
    "Query": "",
    "CustomFilters": "ExcludeOwnSecurityEvents"
}

Tutte le dichiarazioni WindowsEventLogPollingSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "WindowsEventLogPollingSource" (obbligatoria).

LogName

Specifica il registro. Opzioni valide sonoApplication,Security,Systemo altri registri validi.

IncludeEventData

Facoltativo. Quandotrue, specifica che EventData extra quando viene eseguito lo streaming come JSON e XML è incluso. Il valore predefinito è false.

Query

Facoltativo. I registri eventi di Windows supportano l'esecuzione di query di eventi utilizzando espressioni XPath, che è possibile specificare utilizzandoQuery: . Per ulteriori informazioni, consultaQuery di eventi e XML di eventinella documentazione di Microsoft.

CustomFilters

Facoltativo. Un elenco di filtri separati da un punto e virgola (;). È possibile specificare i seguenti filtri.

ExcludeOwnSecurityEvents

Esclude gli eventi di protezione generati dall'agente Kinesis per Windows stesso.

Configurazione WindowsETWEventSource

Il tipo WindowsETWEventSource viene utilizzato per raccogliere tracce di eventi di servizi e di applicazioni utilizzando una funzionalità denominata Event Tracing for Windows (ETW). Per ulteriori informazioni, consulta Tracciamento degli eventi nella documentazione di Windows.

Di seguito è riportato un esempio della dichiarazione WindowsETWEventSource:

{
    "Id": "ClrETWEventSource",
    "SourceType": "WindowsETWEventSource",
    "ProviderName": "Microsoft-Windows-DotNETRuntime",
    "TraceLevel": "Verbose",
    "MatchAnyKeyword": 32768
}

Tutte le dichiarazioni WindowsETWEventSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "WindowsETWEventSource" (obbligatoria).

ProviderName

Specifica quale provider di eventi utilizzare per raccogliere gli eventi di traccia. Questo deve essere un nome di provider ETW valido per un fornitore installato. Per stabilire quali fornitori sono installati, eseguire il seguente comando in una finestra del prompt dei comandi di Windows:

logman query providers
TraceLevel

Specifica quali categorie di eventi di traccia devono essere raccolte. I valori consentiti includono Critical, Error, Warning, Informational e Verbose. Il significato esatto dipende dal provider ETW selezionato.

MatchAnyKeyword

Questo valore è un numero a 64 bit, in cui ogni bit rappresenta una singola parola chiave. Ogni parola chiave descrive una categoria di eventi da raccogliere. Per le parole chiave supportate e i relativi valori e come sono correlati a TraceLevel, consulta la documentazione del provider relativo. Ad esempio, per informazioni sul provider CLR ETW, consulta Parole chiave e livelli CLR ETW nella documentazione di Microsoft.NET Framework.

Nell'esempio precedente, 32768 (0x00008000) rappresenta la ExceptionKeyword per il provider CLR ETW che indica al provider di raccogliere informazioni sulle eccezioni generate. Sebbene JSON non supporti nativamente costanti hex, è possibile specificarle per MatchAnyKeyword inserendole in una stringa. È anche possibile specificare diverse costanti separate da virgole. Ad esempio, è possibile usare quanto segue per specificare ExceptionKeyword e SecurityKeyword (0x00000400):

{
   "Id": "MyClrETWEventSource",
   "SourceType": "WindowsETWEventSource",
   "ProviderName": "Microsoft-Windows-DotNETRuntime",
   "TraceLevel": "Verbose",
   "MatchAnyKeyword": "0x00008000, 0x00000400"
}

Per assicurarsi che tutte le parole chiave specificate per un provider vengano attivate, vengono abbinati più valori di parole chiave utilizzando O che vengono trasferiti poi a tale provider.

L'output da WindowsETWEventSource contiene le informazioni riportate di seguito per ogni evento:

Attributo Tipo Descrizione
EventName Stringa Che tipo di evento si è verificato.
ProviderName Stringa Quale provider ha rilevato l'evento.
FormattedMessage Stringa Un riepilogo testuale dell'evento.
ProcessID Int Quale processo ha segnalato l'evento.
ExecutingThreadID Int Quale thread all'interno del processo ha segnalato l'evento.
MachineName Stringa Il nome del desktop o del server che effettua la segnalazione dell'evento.
Payload Tabella hash Una tabella con una chiave stringa e qualsiasi tipo di oggetto come valore. La chiave è il nome della voce di payload e il valore è il valore della voce di payload. Il payload dipende dal provider.

Di seguito è illustrato un esempio di un evento trasformato in JSON:

{ 
     "EventName": "Exception/Start", 
     "ProviderName": "Microsoft-Windows-DotNETRuntime", 
     "FormattedMessage": "ExceptionType=System.Exception;\r\nExceptionMessage=Intentionally unhandled exception.;\r\nExceptionEIP=0x2ab0499;\r\nExceptionHRESULT=-2,146,233,088;\r\nExceptionFlags=CLSCompliant;\r\nClrInstanceID=9 ",
     "ProcessID": 3328, 
     "ExecutingThreadID": 6172, 
     "MachineName": "MyHost.MyCompany.com", 
     "Payload": 
      { 
        "ExceptionType": "System.Exception", 
        "ExceptionMessage": "Intentionally unhandled exception.", 
        "ExceptionEIP": 44762265, 
        "ExceptionHRESULT": -2146233088, 
        "ExceptionFlags": 16, 
        "ClrInstanceID": 9 
      } 
}

Configurazione WindowsPerformanceCounterSource

Il tipo WindowsPerformanceCounterSource raccoglie parametri contatori di prestazioni da Windows. Di seguito è riportato un esempio della dichiarazione WindowsPerformanceCounterSource: 

{
	"Id": "MyPerformanceCounter",
	"SourceType": "WindowsPerformanceCounterSource",
	"Categories": [{
			"Category": "Server",
			"Counters": ["Files Open", "Logon Total", "Logon/sec", "Pool Nonpaged Bytes"]
		},
		{
			"Category": "System",
			"Counters": ["Processes", "Processor Queue Length", "System Up Time"]
		},
		{
			"Category": "LogicalDisk",
			"Instances": "*",
			"Counters": [
				"% Free Space", "Avg. Disk Queue Length",
				{
					"Counter": "Disk Reads/sec",
					"Unit": "Count/Second"
				},
				"Disk Writes/sec"
			]
		},
		{
			"Category": "Network Adapter",
			"Instances": "^Local Area Connection\* \d$",
			"Counters": ["Bytes Received/sec", "Bytes Sent/sec"]
		}
	]
}

Tutte le dichiarazioni WindowsPerformanceCounterSource possono fornire le seguenti coppie chiave-valore:

SourceType

Deve essere una stringa letterale "WindowsPerformanceCounterSource" (obbligatoria).

Categories

Specifica un set di gruppi di parametri contatori delle prestazioni da raccogliere da Windows. Ogni gruppo di parametri contiene le seguenti coppie chiave-valore:

Category

Specifica il set di contatori di parametri da raccogliere (obbligatorio).

Instances

Specifica il set di oggetti di interesse quando c'è un set unico di contatori delle prestazioni per oggetto. Ad esempio, quando la categoria è LogicalDisk, c'è un set di contatori delle prestazioni per unità disco. Questa coppia chiave-valore è facoltativa. È possibile utilizzare i caratteri jolly * e ? per soddisfare più istanze. Per aggregare i valori su tutte le istanze, specificare _Total.

È possibile utilizzare ancheInstanceRegex, che accetta espressioni regolari che contengono*carattere jolly come parte del nome dell'istanza.

Counters

Specifica quali parametri raccogliere per la categoria specificata. Questa coppia chiave-valore è obbligatoria. È possibile utilizzare i caratteri jolly * e ? per soddisfare più contatori. È possibile specificare Counters utilizzando solo il nome oppure utilizzando il nome e l'unità. Se le unità del contatore non sono specificate, Kinesis Agent per Windows tenta di dedurre le unità dal nome. Se tali estrapolazioni non sono corrette, l'unità può essere specificata in modo esplicito. È possibile modificare i nomi dei Counter, se necessario. La rappresentazione più complessa di un contatore è un oggetto con le seguenti coppie chiave-valore:

Counter

Il nome del contatore. Questa coppia chiave-valore è obbligatoria.

Rename

Il nome del contatore da presentare al sink. Questa coppia chiave-valore è facoltativa.

Unit

Il significato del valore associato al contatore. Per un elenco completo dei nomi di unità validi, consulta la documentazione sulle unità inMetricDatumnellaGuida di riferimento all'API di Amazon CloudWatch: .

Di seguito è riportato un esempio di una specifica complessa di un contatore:


{
   "Counter": "Disk Reads/sec, 
   "Rename": "Disk Reads per second",
   "Unit": "Count/Second"
}

WindowsPerformanceCounterSourcePuò essere utilizzato solo con una pipe che specifica un sink Amazon CloudWatch. Utilizzare un sink separato se i parametri integrati di Kinesis Agent per Windows vengono trasmessi in streaming anche a CloudWatch. Esaminare il log di Kinesis Agent per Windows dopo l'avvio del servizio per stabilire quali unità sono state desunte per i contatori quando queste non sono state specificate nella finestra diWindowsPerformanceCounterSourceDichiarazioni. Utilizzare PowerShell per stabilire i nomi validi per categorie, istanze e contatori.

Per visualizzare informazioni su tutte le categorie, inclusi i contatori associati a set di contatori, eseguire questo comando in una finestra di PowerShell:


    Get-Counter -ListSet * | Sort-Object

Per stabilire quali istanze sono disponibili per ciascuno dei contatori nel set di contatori, eseguire un comando simile a quello dell'esempio seguente in una finestra di PowerShell:


    Get-Counter -Counter "\Process(*)\% Processor Time"

Il valore del parametro Counter deve essere uno dei percorsi da un membro PathsWithInstances elencato dalla precedente invocazione del comando Get-Counter -ListSet.

Origine dei parametri integrati di Kinesis Agent per Windows

Oltre alle fonti di metriche ordinarie, come ilWindowsPerformanceCounterSourcetipo (vedereConfigurazione WindowsPerformanceCounterSource), il tipo di sink CloudWatch è in grado di ricevere i parametri da un'origine speciale che raccoglie i parametri sull'agente Kinesis per Windows. I parametri di Kinesis Agent per Windows sono disponibili anche nellaKinesisTapdei contatori delle prestazioni di Windows.

LaMetricsFilterLa coppia chiave-valore per le dichiarazioni sink CloudWatch specifica quali parametri vengono trasmessi a CloudWatch dall'origine integrata di parametri Kinesis Agent per Windows. Il valore è una stringa che contiene una o più espressioni di filtro separate da punti e virgola; ad esempio:

"MetricsFilter": "FilterExpression1;FilterExpression2"

Una metrica che corrisponde a una o più espressioni di filtro viene inviata in streaming a CloudWatch.

I parametri di istanze singole sono di natura globale e non sono associati a origini o sink particolari. I parametri di più istanze sono dimensionali in base alla sorgente o alla dichiarazione del sink Id. Ogni tipo di origine o sink può avere una serie diversa di parametri.

Per un elenco dei nomi dei parametri integrati di Kinesis Agent per Windows, consultaElenco delle metriche di Kinesis Agent per Windows: .

Per i parametri di una singola istanza, l'espressione di filtro è il nome della metrica, ad esempio:


"MetricsFilter": "SourcesFailedToStart;SinksFailedToStart"

Per più parametri di istanza, l'espressione del filtro è il nome del parametro, un punto (.) e quindi l'Id dell'origine o la dichiarazione del sink che ha generato tale parametro. Ad esempio, supponiamo che ci sia una dichiarazione sink con un Id di MyFirehose:


"MetricsFilter": "KinesisFirehoseRecordsFailedNonrecoverable.MyFirehose"

È possibile utilizzare i modelli di carattere jolly speciali progettati per distinguere i parametri di istanze singole e multiple.

  • L'asterisco (*) corrisponde a zero o più caratteri tranne il punto (.).

  • Il punto interrogativo (?) corrisponde a un carattere tranne il punto.

  • Qualsiasi altro carattere corrisponde solo a se stesso.

  • _Total è un token speciale che provoca l'aggregazione di tutti i valori che corrispondono a più istanze in tutta la dimensione.

L'esempio seguente corrisponde a tutti i parametri di istanze singole:

"MetricsFilter": "*"

Poiché un asterisco non corrisponde al carattere punto, sono inclusi solo i parametri di istanze singole.

L'esempio seguente corrisponde a tutti i parametri di istanze multiple:

"MetricsFilter": "*.*"

L'esempio seguente corrisponde a tutti i parametri (singoli e multipli):

"MetricsFilter": "*;*.*"

L'esempio seguente aggrega tutti i parametri di istanze multiple in tutte le origini e i sink:

"MetricsFilter": "*._Total"

L'esempio seguente aggrega tutti i parametri di Kinesis Data Firehose per tutti i sink di Kinesis Data:

"MetricsFilter": "*Firehose*._Total"

L'esempio seguente corrisponde a tutti i parametri di errore delle istanze singole e multiple:

"MetricsFilter": "*Failed*;*Error*.*;*Failed*.*"

L'esempio seguente corrisponde a tutti i parametri di errori non recuperabili in tutte le origini e i sink:

"MetricsFilter": "*Nonrecoverable*._Total"

Per informazioni su come specificare una pipe che utilizza l'origine dei parametri integrati di Kinesis Agent per Windows, vediConfigurazione dell'agente Kinesis per le pipe metriche di Windows: .

Elenco delle metriche di Kinesis Agent per Windows

Di seguito è riportato un elenco di parametri di istanze singole e multiple disponibili per Kinesis Agent per Windows.

Parametri di istanze singole

Sono disponibili i seguenti parametri di istanze singole:

KinesisTapBuildNumber

Il numero di versione di Kinesis Agent per Windows.

PipesConnected

Quante pipe hanno collegato l'origine al sink in modo corretto.

PipesFailedToConnect

Quante pipe hanno collegato l'origine al sink in modo errato.

SinkFactoriesFailedToLoad

Quanti tipi di sink non è stato possibile caricare in Kinesis Agent per Windows correttamente.

SinkFactoriesLoaded

Quanti tipi di sink sono stati caricati in Kinesis Agent per Windows correttamente.

SinksFailedToStart

Quanti sink non sono stati iniziati correttamente, di solito a causa di dichiarazioni sink errate.

SinksStarted

Quanti sink sono stati avviati correttamente.

SourcesFailedToStart

Quante origini non sono state iniziate correttamente, di solito a causa di dichiarazioni errate.

SourcesStarted

Quante origini sono state avviate correttamente.

SourceFactoriesFailedToLoad

Quanti tipi di origine non sono stati caricati in Kinesis Agent per Windows correttamente.

SourceFactoriesLoaded

Quanti tipi di origine sono stati caricati in Kinesis Agent per Windows.

Parametri di istanze multiple

Per le istanze multiple sono disponibili i seguenti parametri:

Parametri DirectorySource

DirectorySourceBytesRead

Quanti byte sono stati letti durante l'intervallo per questo DirectorySource.

DirectorySourceBytesToRead

Quanti numeri noti di byte sono disponibili da leggere che non sono stati ancora letti da Kinesis Agent per Windows.

DirectorySourceFilesToProcess

Quanti file noti da esaminare che non sono ancora stati esaminati da Kinesis Agent per Windows.

DirectorySourceRecordsRead

Quanti record sono stati letti durante l'intervallo per questo DirectorySource.

Parametri WindowsEventLogSource

EventLogSourceEventsError

Quanti eventi di log di eventi di Windows non sono stati letti correttamente.

EventLogSourceEventsRead

Quanti eventi di log di eventi di Windows sono stati letti correttamente.

Parametri sink KinesisFirehose

KinesisFirehoseBytesAccepted

Quanti byte sono stati accettati durante l'intervallo.

KinesisFirehoseClientLatency

Quanto tempo è trascorso tra la generazione e lo streaming dei record al servizio Kinesis Data Firehose.

KinesisFirehoseLatency

Quanto tempo è trascorso tra l'inizio e la fine dello streaming dei record al servizio Kinesis Data Firehose.

KinesisFirehoseNonrecoverableServiceErrors

Quante volte i record non potevano essere inviati senza errori al servizio Kinesis Data Firehose nonostante i tentativi.

KinesisFirehoseRecordsAttempted

Quanti record hanno tentato di eseguire lo streaming al servizio Kinesis Data Firehose.

KinesisFirehoseRecordsFailedNonrecoverable

Quanti record non sono stati trasmessi correttamente al servizio Kinesis Data Firehose nonostante i tentativi.

KinesisFirehoseRecordsFailedRecoverable

Quanti record sono stati trasmessi correttamente al servizio Kinesis Data Firehose ma solo dopo nuovi tentativi.

KinesisFirehoseRecordsSuccess

Quanti record sono stati trasmessi correttamente al servizio Kinesis Data Firehose senza nuovi tentativi.

KinesisFirehoseRecoverableServiceErrors

Quante volte i record sono stati inviati correttamente al servizio Kinesis Data Firehose ma solo dopo nuovi tentativi.

Parametri KinesisStream

KinesisStreamBytesAccepted

Quanti byte sono stati accettati durante l'intervallo.

KinesisStreamClientLatency

Quanto tempo è trascorso tra la generazione e lo streaming dei record al servizio Kinesis Data Streams.

KinesisStreamLatency

Quanto tempo è trascorso tra l'inizio e la fine dello streaming dei record al servizio Kinesis Data Streams.

KinesisStreamNonrecoverableServiceErrors

Quante volte i record non potevano essere inviati senza errori al servizio Kinesis Data Streams nonostante i tentativi.

KinesisStreamRecordsAttempted

Quanti record hanno tentato di eseguire lo streaming al servizio Kinesis Data Streams.

KinesisStreamRecordsFailedNonrecoverable

Quanti record non sono stati trasmessi correttamente al servizio Kinesis Data Streams nonostante i tentativi.

KinesisStreamRecordsFailedRecoverable

Quanti record sono stati trasmessi correttamente al servizio Kinesis Data Streams ma solo dopo nuovi tentativi.

KinesisStreamRecordsSuccess

Quanti record sono stati trasmessi correttamente al servizio Kinesis Data Streams senza nuovi tentativi.

KinesisStreamRecoverableServiceErrors

Quante volte i record sono stati inviati correttamente al servizio Kinesis Data Streams ma solo dopo nuovi tentativi.

Parametri CloudWatchLog

CloudWatchLogBytesAccepted

Quanti byte sono stati accettati durante l'intervallo.

CloudWatchLogClientLatency

Quanto tempo è trascorso tra la generazione e lo streaming dei record al servizio CloudWatch Logs.

CloudWatchLogLatency

Quanto tempo è trascorso tra l'inizio e la fine dello streaming dei record al servizio CloudWatch Logs.

CloudWatchLogNonrecoverableServiceErrors

Quante volte i record non potevano essere inviati senza errori al servizio CloudWatch Logs nonostante i tentativi.

CloudWatchLogRecordsAttempted

Quanti record hanno tentato di eseguire lo streaming al servizio CloudWatch Logs.

CloudWatchLogRecordsFailedNonrecoverable

Quanti record non sono stati trasmessi correttamente al servizio CloudWatch Logs nonostante i tentativi.

CloudWatchLogRecordsFailedRecoverable

Quanti record sono stati trasmessi correttamente al servizio CloudWatch Logs ma solo dopo nuovi tentativi.

CloudWatchLogRecordsSuccess

Quanti record sono stati trasmessi correttamente al servizio CloudWatch Logs senza nuovi tentativi.

CloudWatchLogRecoverableServiceErrors

Quante volte i record sono stati inviati correttamente al servizio CloudWatch Logs ma solo dopo nuovi tentativi.

Parametri di CloudWatch

CloudWatchLatency

Quanto tempo in media è trascorso tra l'inizio e la fine dello streaming dei parametri al servizio CloudWatch.

CloudWatchNonrecoverableServiceErrors

Quante volte i parametri non potevano essere inviati senza errori al servizio CloudWatch nonostante i tentativi.

CloudWatchRecoverableServiceErrors

Quante volte i parametri sono stati inviati senza errori al servizio CloudWatch ma solo dopo nuovi tentativi.

CloudWatchServiceSuccess

Quante volte i parametri sono stati inviati senza errori al servizio CloudWatch senza nuovi tentativi.

Configurazione del segnalibro

Per impostazione predefinita, Kinesis Agent per Windows invia i record di log ai sink creati dopo l'avvio dell'agente. Talvolta è utile inviare i record di log precedenti, ad esempio, i record di log creati quando Kinesis Agent per Windows si blocca durante un aggiornamento automatico. La funzione di segnalibro monitora quali record sono stati inviati ai sink. Quando Kinesis Agent per Windows è in modalità segnalibro e si avvia, invia tutti i record di log creati dopo l'arresto di Kinesis Agent per Windows, insieme a qualsiasi record di log creato successivamente. Per controllare questo comportamento, le dichiarazioni di origine basate su file possono eventualmente includere le seguenti coppie chiave-valore:

InitialPosition

Specifica la situazione iniziale del segnalibro. I valori possibili sono i seguenti:

EOS

Specifica la fine del flusso (EOS). Solo i record di log creati durante l'esecuzione dell'agente vengono inviati ai sink.

0

Tutti gli eventi e i record di log vengono inizialmente inviati. Quindi viene creato un segnalibro che assicura che ogni nuovo record di log ed evento creato dopo la creazione del segnalibro venga infine inviato, se Kinesis Agent for Windows è in esecuzione oppure no.

Bookmark

Il segnalibro viene inizializzato solo dopo l'ultimo record di log o evento. Quindi viene creato un segnalibro che assicura che ogni nuovo record di log ed evento creato dopo la creazione del segnalibro venga infine inviato, se Kinesis Agent for Windows è in esecuzione oppure no.

I segnalibri sono abilitati come impostazione predefinita. I file vengono memorizzati nella%ProgramData%\Amazon\KinesisTapdirectory.

Timestamp

Vengono inviati i record di log e gli eventi creati dopo il valore InitialPositionTimestamp (segue la definizione). Quindi viene creato un segnalibro che assicura che ogni nuovo record di log ed evento creato dopo la creazione del segnalibro venga infine inviato, se Kinesis Agent per Windows è in esecuzione oppure no.

InitialPositionTimestamp

Specifica il primo timestamp desiderato di record di log o evento. Specificare questa coppia chiave-valore solo quando InitialPosition ha un valore di Timestamp.

BookmarkOnBufferFlush

Questa impostazione può essere aggiunta a qualsiasi fonte segnalibro. Se impostato sutrue, assicura che gli aggiornamenti dei segnalibri si verifichino solo quando un sink invia correttamente un evento a AWS. È possibile sottoscrivere un solo sink a una fonte. Se spedisci i registri a più destinazioni, duplicare le origini per evitare potenziali problemi con la perdita di dati.

Quando Kinesis Agent per Windows viene arrestato per un periodo di tempo prolungato, potrebbe essere necessario eliminare questi segnalibri, perché i record di log ed eventi contrassegnati dal segnalibro non esistono più. I file del segnalibro per un dato id origine sono situati in %PROGRAMDATA%\Amazon\AWSKinesisTap\source id.bm.

I segnalibri non funzionano su file rinominati o troncati. Per propria natura, gli eventi ETW e i contatori delle prestazioni non possono essere contrassegnati da segnalibri.