التوثيق

تفاصيل ملف التحليل

معلمات ملف التحليل

تسمح القائمة المنسدلة للعلامات بإدخال متغيرات محددة مسبقًا في الحقول أعلاه، على سبيل المثال $NAME$ لاسم المهمة.

تحويلات الملفات القياسية

إذا تم جلب ملف من نظام آخر غير لينكس، فيجب تكييف بعض الأحرف الخاصة للتحليل. توضح القائمة التالية الحالات التي يتم التعامل معها من قبل المهمة تلقائيًا:

• تُحذف أحرف إرجاع النقل في نظام ويندوز (كان يتم ذلك سابقًا بواسطة خيار التحويل dos2unix)

• إذا كان الملف مشفّرًا بلغة UTF-8 مع BOM (علامة ترتيب البايت)، تتم إزالة BOM

• إذا كان الملف مشفرًا بالرمز الأحادي (UTF-16 ذو الأساس الكبير UTF-16 أو UTF-16 ذو الأساس الصغير UTF-16)

• • إذا لم يتم تعريف أي تحويل، يتم تحويل الملف إلى UTF-8 قبل التحليل

• • إذا تم تعريف التحويل، لا يتم إجراء أي تحويل للملف (يُفترض أن التحويل يعالج الملف بشكل صحيح)

في حالة فشل التحويل، ستعرض رموز الاستجابة والأخطاء الخاصة بالمهمة الرسائل التالية:

• سيتم دائمًا عرض رمز الاستجابة 11 (فشل في تحويل الملف) ويجب تكوينه كحد إنذار

• يمكن عرض رمز الخطأ 1 (خطأ النظام) أو 2 (خطأ داخلي) بالإضافة إلى ذلك

تسلسل ملف التحليل

السلوك العام

• إذا لم يتم العثور على الملف، يتم تعيين رمز الاستجابة إلى 1(لم يتم العثور على الملف) ويتم إنهاء التنفيذ.

• إذا تم تعريف عمر الملف و/أو عمر محتوى الملف، يتم إجراء هذه الفحوصات قبل تحليل الملف.

• إذا كان الملف قديمًا جدًا، يتم تعيين رمز الاستجابة إلى 2(الملف قديم جدًا)، ومع ذلك، يستمر تحليل الملف.

• إذا كان محتوى الملف قديمًا جدًا، يتم تعيين رمز الاستجابة إلى 3(محتوى الملف قديم جدًا)، ومع ذلك يستمر تحليل الملف.

• إذا كان الملف يحتوي على أكثر من 100000 سطر يتم تعيين رمز الاستجابة إلى 4(الملف طويل جدًا) ويتم إنهاء التنفيذ. يمكن رفع الحد الافتراضي أو إزالته بإضافة السطر التالي في ملف تكوين محرك SKOOR /opt/eranger/etc/eranger-collector.cfg:

  parsefile_line_limit = 1000000                     raise limit to a million lines
  parsefile_line_limit = 0                           remove limit altogether

  
  

• عند إضافة قيم جديدة وقيم السلسلة وقيم Diff وما إلى ذلك، يمكن إضافة 32 مدخلاً كحد أقصى ضمن تسلسل التحليل لكل نوع قيمة. على سبيل المثال، عند إضافة 3 قيم باستخدام عنصر الحصول على قيمة، ابدأ بإضافة قيمة الحصول على قيمة بمؤشر 1، ثم 2، ثم 3، مع زيادة عدد المؤشرات. تسمح واجهة المستخدم فقط بتحديد الحد الأقصى للفهرس بناءً على عدد عناصر التسلسل المكوّنة حاليًا حتى لا تشغل القائمة المنسدلة لتحديد الفهرس مساحة كبيرة.

العناصر المتاحة في القائمة المنسدلة لتصفية التسلسل

• تعيين

  • عامل التصفية (تضمين)

    • يتم تجاهل جميع الأسطر في الملف التي لا تحتوي على التعبير، على سبيل المثال إدخال "المضيف المحلي" (بدون علامات اقتباس) سيأخذ بعين الاعتبار الأسطر التي تحتوي على "المضيف المحلي" فقط؛ يتم تخطي الأسطر الأخرى.

  • تصفية (استبعاد)

    • يعمل بالعكس، أي كعامل تصفية سلبي.

    • يتم تجاهل جميع الأسطر التي تحتوي على التعبير لتحليل بقية التسلسل.

  • تحديد المحدد

    • محدد العمود الافتراضي هو المسافة البيضاء (مسافة واحدة، عدة مسافات متتالية، علامات تبويب). يقسم هذا بشكل فعال الأسطر إلى كلمات.

    • يمكن اختيار محدد مختلف هنا. أدخل سلسلة من حرف واحد أو أكثر مثل ";" أو "COL". أثناء التسلسل يمكن تعيين المحدد وإعادة تعيينه عدة مرات. لإعادة التعيين، اترك الحقل النصي فارغاً.

    • يبدأ عدد الأعمدة من 0 (صفر).

  • وضع Syslog

    • إذا تم تعيين هذا، يستمر التحليل مع أول سطر جديد في الملف تمت إضافته منذ آخر تشغيل للمهمة.

    • إذا تم تدوير الملف، يتم استخدام الملف الذي تم تدويره من آخر موضع EOF حتى لا يتم فقدان أي بيانات.

  • تجاهل الحالة

    • إذا تم تعيين هذا، يتم تجاهل حالة الأحرف لمقارنات السلاسل.

  • تجاهل غير موجود

    • إذا لم يتم العثور على سطر أو تعبير أو عمود، لا يتم تعيين رمز الاستجابة إلى 7 لم يتم العثور على سلسلة، ولكن يتم إنهاء تنفيذ المهمة.

  • متابعة بعد عدم العثور على

    • إذا تم تعيين هذا، يستمر التحليل بعد عدم العثور على سطر أو عمود.

  • تشغيل/إيقاف تشغيل كشف التجاوز

    • إذا تم تمكين هذا، فإن أي معلمات قيمة Diff التالية في وقت لاحق في التسلسل ستتجاهل أي قيم أقل من القيمة التي تم قياسها في تنفيذ المهمة السابقة (يُسمح فقط بالفروق الإيجابية).

    • يُستخدم هذا في الغالب للعدادات. يمكن إيقاف تشغيل الإعداد لاحقًا في التسلسل.

  • الحصول على الطابع الزمني (المعدل)

    • يمكن قراءة الطابع الزمني من ملف لإجراء حسابات دقيقة باستخدام معلمة التسلسل الحصول على قيمة المعدل. على سبيل المثال، إذا تم إنشاء الملف الذي تم تحليله بواسطة تطبيق تم تنفيذه بشكل غير متزامن.

    • يجب طباعة الطابع الزمني في الملف بوحدات الثواني أو المللي ثانية أو ميكرو ثانية.

• البحث
  تشير المعلمات التالية إلى الأسطر. نطاق المعلمة التالية هو السطر الذي تم العثور عليه بواسطة المعلمة الحالية. إذا لم يكن السطر المطلوب غير موجود، يتم تعيين رمز الاستجابة إلى 5(لم يتم العثور على السطر) ويتم إنهاء التنفيذ، إلا إذا تم تعيين متابعة بعد عدم العثور.

  • الانتقال إلى السطر #

    • يتم وضع مؤشر التحليل في بداية السطر المقابل.

  • الانتقال إلى السطر التالي

    • يتم وضع مؤشر التحليل في بداية السطر التالي.

  • الانتقال إلى السطر الأول مع

    • يتم وضع مؤشر التحليل في بداية السطر الأول الذي يقيّم السلسلة/التعبير.

    • إذا تعذّر العثور على سطر يحتوي على مثل هذا التعبير وتم تعيين "متابعة بعد عدم العثور عليه"، يتم وضع مؤشر التحليل عند الحرف الأول من الصف الأول في الملف وتتم معالجة بقية التسلسل.

  • الانتقال إلى السطر التالي مع

    • يتم وضع مؤشر التحليل في بداية السطر التالي الذي يقوم بتقييم السلسلة/التعبير.

    • إذا تعذّر العثور على سطر يحتوي على مثل هذا التعبير وتم تعيين "متابعة بعد عدم العثور"، يتم وضع مؤشر التحليل عند الحرف الأول من الصف التالي وتتم معالجة بقية التسلسل.

  • الانتقال إلى السطر الأخير مع

    • يتم وضع مؤشر التحليل عند بداية السطر الأخير الذي يقيّم السلسلة/التعبير.

    • إذا تعذّر العثور على سطر يحتوي على مثل هذا التعبير وتم تعيين "متابعة بعد عدم العثور"، يتم وضع مؤشر التحليل عند الحرف الأول من الصف الأول في الملف وتتم معالجة بقية التسلسل.

• البحث عن المحدد القائم على المحدد
  تعتمد الأوامر التالية على تعريف المحدد. إذا لم يتم تعريف محدد، يتم استخدام المسافات البيضاء (المسافات أو علامات التبويب) كمحدد

  • انتقل إلى العمود رقم

    • يتم وضع مؤشر التحليل عند الحرف الأول من العمود المقابل (0...n) في السطر الحالي.

    • إذا لم يتم العثور على العمود يتم تعيين رمز الاستجابة إلى 6(لم يتم العثور على العمود) ويتم إنهاء التنفيذ.

    • إذا لم يتم العثور على العمود وتم تعيين متابعة بعد عدم العثور عليه، لا يتم تغيير موضع مؤشر التحليل.

    • يتم تعيين نطاق أوامر السلسلة التالية افتراضيًا إلى الملف بأكمله ؛ إذا تم استدعاء أحد أوامر السطر مسبقًا، يكون النطاق هو السطر الحالي.

    • إذا تُرك الحقل فارغًا، يتم تعيين رمز الخطأ إلى 7(معلمة غير صالحة) ويتم إنهاء التنفيذ.

  • الانتقال إلى السلسلة الأولى

    • اعتمادًا على النطاق، يتم البحث عن أول تكرار للسلسلة في الملف بأكمله / في السطر الحالي الذي يقوم بتقييم التعبير.

    • إذا تم العثور عليه، يتم وضع مؤشر التحليل عند الحرف الأول الذي يقوم بتقييم التعبير ثم يتم زيادته بطول التعبير

    • خلاف ذلك يتم إنهاء التنفيذ ويتم تعيين رمز الاستجابة إلى 7(لم يتم العثور على السلسلة)، إلا إذا تم تعيين تجاهل لم يتم العثور أو متابعة بعد عدم العثور أعلاه.

  • الانتقال إلى السلسلة التالية

    • نفس ما ورد أعلاه، ولكن يبدأ البحث من الموضع الحالي بحيث يبحث المحلل عن التكرار التالي.

  • الانتقال إلى السلسلة الأخيرة

    • نفس ما ورد أعلاه، لكن المحلِّل يبحث عن التكرار الأخير للتعبير.

تدعم المعلمات التالية معالجة الأحداث وفقًا لوظيفة "مدونة أحداث الوكيل" ويمكنها تتبع ما يصل إلى 4 أحداث.

• حدث

  • تعيين الحدثX

    • يتم تعيين حدث عندما يتطابق سطر مع تعبير أو سلسلة معينة.

    • يمكن تكوين وتعيين ما يصل إلى 32 حدثاً.

  • إعادة تعيين الحدثX

    • يتم إعادة تعيين حدث عندما يتطابق سطر لاحق مع تعبير معين.

    • يمكن تكوين وتعيين ما يصل إلى 32 حدث إعادة تعيين.

  • إعادة تعيين الحدثX بعد

    • تتم إعادة تعيين حدث بعد مهلة محددة (على سبيل المثال 10 م = 10 دقائق).

    • يمكن تكوين ما يصل إلى 32 مهلة وتعيينها.

    • يتم تقييم شرط إعادة التعيين فقط في وقت تشغيل المهمة. إذا تم تعيين حدث ما ولم يتم العثور على سلاسل مطابقة جديدة أثناء تنفيذ المهمة التالية، فسيتم إعادة تعيين الحدث إذا تم الوصول إلى المهلة أعلاه.

• القيم

  • الحصول على القيمةX

    • بدءًا من الموضع الحالي يتم البحث عن قيمة رقمية وتعيينها إذا تم العثور عليها

    • وإلا يتم تعيين رمز الاستجابة إلى 8(لم يتم العثور على القيمة) ويتم إنهاء التنفيذ.

    • يتم تعيين مؤشر التحليل إلى الحرف الأول بعد القيمة التي تم العثور عليها.
      
      يؤدي الضغط على زر الوحدة إلى إظهار مربع الحوار التالي:
      

      

      
      هنا يمكن للمرء تحديد

      • اسم القيمة المراد إرجاعها (اختياري)

      • وحدتها (مثل الثواني، اختياري)

      • المقسوم عليه الذي يجب قسمة القيمة عليه (اختياري)

      • دقة الإخراج العددي (مثل 1.000)

  • الحصول على قيمة الفرقX

    • بدءًا من الموضع الحالي يتم البحث عن قيمة رقمية ويتم تعيين الفرق إلى القيمة التي تم العثور عليها أثناء التنفيذ الأخير.

    • يتم تعيين مؤشر التحليل إلى الحرف الأول بعد القيمة التي تم العثور عليها.

  • الحصول على قيمة المعدلX

    • تمثّل قيمة المعدل الفرق بين القيمة الحالية والقيمة الأخيرة مقسومة على مقدار الوقت (بالثواني) الذي مرّ بين القياسين:

    • (_فالناو - _فالاست) / (_tnow - _tlast)

    • عادةً ما يتم أخذ الطابع الزمني لتنفيذ المهمة لهذا الحساب. ومع ذلك، يمكن أيضًا قراءته من الملف باستخدام عنصر الحصول على الطابع الزمني (المعدل) (انظر أعلاه)

    • إذا كان فرق الطابع الزمني <= 0 لا يتم إنشاء قيمة معدل جديدة.

  • الحصول على قيمة السلسلةX

    • يسمح هذا بتلقي قيمة سلسلة من ملف. استخدم هذا فقط مع السلاسل التي لا تتغير كثيرًا، أي استخدمه عندما تكون السلسلة واحدة من سلاسل قليلة معروفة كجزء من النص المُحلل.

    • قد يتم تعيين السلسلة إلى قيمة رقمية باستخدام حقول التكوين التي يمكن الوصول إليها عند النقر على زر الوحدة.

  • مقارنة السلسلةX

    • يتم تقييم التعبير (الذي قد يكون سلسلة بسيطة، ولكن يمكن أن يكون أيضًا تعبيرًا عاديًا) ويتم تعيين إما 1(موجود) أو 0(غير موجود) كقيمة إرجاع.

    • يمكن التأثير على اسم قيمة الإرجاع أعلاه والنص الذي يظهر بجوار قيمة الإرجاع بالنقر فوق الزر Enum الموجود على يمين هذه المعلمة. يؤدي هذا إلى فتح مربع الحوار التالي:
      

      

      
      والذي سيعرض ما يلي للمقارنة الناجحة في قسم القيم:
      التحقق من الحالة: 1 (الحالة موافق)
      بدلاً من الافتراضي
      مقارنة النتيجة 1: 1 (تم العثور على)
      
      يسمح ذلك بتعيين قيمة الإرجاع إلى رسالة محددة.

    • يمكن استخدام الأحرف الخاصة ^ أو $ للبحث عن التعبيرات في بداية السطر أو نهايته. على سبيل المثال، سيؤدي إدخال "^AAAAA" (بدون علامات اقتباس) إلى إرجاع "Found " إذا كانت السلسلة "AAA" في بداية السطر، ومع ذلك، سيعيد " غير موجود " إذا كان السطر يحتوي على أي شيء آخر غير "AAA" ولكنه يبدأ بأي شيء آخر غير "AAA". وبالمثل، لن يؤدي إدخال "AAA$" إلى العثور على السلسلة إلا إذا كانت موجودة في نهاية السطر.

    • إذا تم إدخال مجموعة من مجموعات السلاسل/القيم بالصيغة "1=AAAAA، 2=BBB" أو "1=AAA، 2=BBB، 0=*" وتم العثور على سلسلة من المجموعة بعد الموضع الحالي في السطر الحالي، يتم تعيين الرقم المناسب كقيمة إخراج (المثال الثاني يُرجع 0 للسلاسل غير الموجودة في المجموعة). يسمح ذلك بإرجاع قيم إرجاع أكثر من القيمة الافتراضية 0 أو 1. بالإضافة إلى ذلك، يمكن بعد ذلك تعيين قيم الإرجاع هذه إلى رسائل الإخراج باستخدام حقل Enum.

    • تحتاج الأحرف الخاصة التي عادةً ما تكون جزءًا من تعبير عادي، مثل "(" إلى الهروب من الأحرف الخاصة التي عادةً ما تكون جزءًا من تعبير عادي، مثل "("، إلى أن يتم الهروب منها بشرطة مائلة للخلف ليتم مطابقتها بشكل صحيح.

    • يتم تعيين مؤشر التحليل إلى الحرف الأول بعد التعبير الذي تم تقييمه والذي لا يكون أحد الأحرف الفارغة أو علامات التبويب أو الشريط العمودي (| أو ۞) أو إلى العمود التالي إذا تم تحديد محدد.

  • عدد مطابقات السلسلةX

    • إذا تم إصدار معلمة سطر في التسلسل أعلاه، يتم حساب جميع تكرارات السلسلة في السطر الحالي، وإلا يتم حساب جميع تكرارات السلسلة في الملف بأكمله.

    • لا يتم نقل مؤشر التحليل.

  • نص رسالة المعلومات

    • يتم نسخ النص من موقع مؤشر التحليل الحالي إلى نهاية السطر إلى رسالة المعلومات. إذا لم يكن هناك نص، يتم تعيين رمز الاستجابة إلى 9(لم يتم العثور على نص للمعلومات) ويتم إنهاء التنفيذ.

    • لا يتم نقل مؤشر التحليل.

قيم ملف التحليل وحدود الإنذار

يمكن أن تدخل مهمة Parsefile في حالات الصيانة صيانة موافق أو صيانة رئيسية، اعتمادًا على حدود الإنذار الأخرى التي تم تكوينها. على سبيل المثال إذا تم تكوين حد الإنذار التالي:

ستدخل المهمة في حالة الصيانة موافق إذا تطابقت مقارنة النص مع سلسلة أو تعبير معين وإذا كانت في الحالة موافق. يمكن استخدام هذا الأمر لوضع المهمة وجهازها الأم (يتم نشر الصيانة لأعلى من المهمة إلى جهازها) في وضع الصيانة بناءً على ما يتم العثور عليه عند تحليل ملف يحتوي على معلومات عن حالة الصيانة، على سبيل المثال من أنظمة المراقبة الأخرى مثل Nagios. يمكن أيضًا استخدام جميع حدود الإنذار الأخرى أدناه في حد إنذار الصيانة.

أمثلة على تحليل الملف

مثال 1 - تحليل ملف file.txt الذي يحتوي على المحتوى التالي لقراءة القيم الثلاث في آخر 3 أسطر:

11;OK;33;44.9888;MK;Duration (average): 203.6533s
Open cases:
10
8
1

يبدو تكوين المهمة على النحو التالي:

تعريف الوحدة لعنصر الحصول على القيمة الأولى هو:

يتشابه تعريفا الوحدتين الأخريين مع اسمي الصغرى والرائدة على التوالي.

الإخراج 1

مثال 2 - تحليل نفس الملف.txt واستخراج القيم من السطر الأول منه بناءً على الأعمدة

يُقرأ تعريف Enum لعنصر مقارنة السلسلة 1:

النص الكامل: 0=الحالة جيدة,1=الحالة ليست جيدة,2=الحالة غير معروفة

يقرأ تعريف الوحدة للحصول على القيمة 1:

لاحظ زيادة الدقة، لتتمكن من قراءة القيم الرقمية ذات الفاصلة العائمة.

الإخراج 2

مثال 3 - ابحث عن سطر يحتوي على اسم الخادم باستخدام علامات المتغير. ابق على هذا السطر واحصل على القيمتين MeasurementValue1 و CPU_Usage

محتويات الملف هي:

Timestamp=Fri Oct 31 09:55:20 CET 2017
ServerName=myserver01;MeasurementValue1=1.11;CPU_Usage=10%;EnumValue1=OK;
ServerName=myserver02;MeasurementValue1=1.22;CPU_Usage=22%;EnumValue1=BAD;

اسم الجهاز هو myserver01.

تعريفات الوحدة هي:

يسمح استخدام علامات محرك SKOOR بنسخ المهام إلى أجهزة مختلفة مع استمرار عملها باستخدام اسم الجهاز الصحيح.

الإخراج 3

مثال 4 - قراءة طابع زمني من ملف يتم إنشاؤه بانتظام وقراءة قيمة المعدل للحصول على عدد الحزم الواردة والصادرة على واجهة الشبكة

يتم إنشاء الملف بشكل منتظم بالمحتوى التالي من مهمة تنفيذ مع محتويات البرنامج النصي المضمنة التالية:

date +%s%N | cut -c1-13
netstat -I=eth0

يقوم السطر الأول بطباعة الطابع الزمني (الثواني منذ 1.1.1970) بدقة مللي ثانية، ويقوم السطر الثاني بطباعة إحصائيات الاستقبال/الإرسال على واجهة الشبكة eth0. الملف الذي تم إنشاؤه هو:

1512726065120
Kernel Interface table
Iface       MTU Met    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0       1500   0  5761332      0      0      0  2932100      0      0      0 BMRU

قيم المعدل (الحزم الواردة والصادرة) مستقلة عن فترات تنفيذ كل من مهمة التنفيذ ومهمة التحليل. عادةً ما يتم وضع مهمة التنفيذ ومهمة التحليل تحت مهمة دفعية وتعيين فاصل زمني للتنفيذ لهما بفاصل زمني للتنفيذ بدون تكرار، وتكون مهمة الدُفعات فقط هي التي لها فاصل زمني للتنفيذ.

تبدو مهمة التحليل على النحو التالي:

تعريفات الوحدة هي:

الإخراج 4

تتم طباعة القيم بعد التنفيذ الثاني للمهمة (تحتاج قيمة المعدل إلى مقارنة مع القياس السابق):

مثال 5 - توليد الأحداث من المحتوى المحلّل

قراءة ملف تم إنشاؤه من خلال مهمة خارجية والبحث عن سلاسل معينة. قم بإنشاء حدث1 عند العثور على السلسلة خطأ . أعد تعيين الحدث بعد فترة زمنية معينة. أنشئ أيضًا حدثًا2 إذا تم العثور على السلسلة عملية إنهاء mysqld . إعادة تعيين الحدث الثاني فقط إذا تم العثور على السلسلة Process mysqld بدأت العملية mysqld في أسفل الملف أو أثناء تنفيذ المهمة التالية.

في هذا المثال يقوم العنصر الأول في تسلسل التحليل بتعيين معلمة وضع Syslog. هذا يضمن تحليل البيانات الجديدة فقط في الملف. لا يتم اعتبار الأجزاء الأقدم من الملف التي تم تحليلها أثناء تنفيذ المهمة الأخيرة في عمليات تنفيذ المهمة اللاحقة. إذا عثر أول تنفيذ للمهمة على سلسلة خطأ في الملف، فإنه يقوم بتعيين الحدث1. إذا لم يتم العثور على سلاسل أخطاء جديدة خلال عمليات تنفيذ المهمة العشرة التالية (يتم تعيين الفاصل الزمني للمهمة على دقيقة واحدة)، تتم إعادة تعيين الحدث.

تسمح آلية الحدث للوظيفة بالعودة إلى حالة موافق بعد فترة زمنية معينة مع إمكانية تشغيل رسالة بريد إلكتروني للإنذار عند تعيين الحدث.

تعريفات Enum هي:

يتم تكوين حدود الإنذار على النحو التالي:

المخرج 5