Facetas de log

Información general

Las facetas son etiquetas (tags) y atributos definidos por el usuario a partir de tus logs indexados. Están pensadas para el análisis cualitativo o cuantitativo de datos. Como tales, pueden utilizarse en el Log Explorer para:

Las facetas también te permiten manipular tus logs en tus monitores de log, widgets de log en dashboards y notebooks.

Nota: No necesitas facetas para admitir el procesamiento de log, buscar en Live Tail, buscar en Log Explorer, generación de métricas de logs, reenvío de archivos, o recuperación. Tampoco necesitas facetas para enrutar logs a través de pipelines e índices con filtros, o excluir o muestrear logs de índices con filtros de exclusión.

En todos estos contextos, las capacidades de autocompletar se basan en facetas existentes, pero cualquier entrada que coincida con los logs entrantes funcionaría.

Facetas cualitativas

Dimensiones

Utiliza facetas cualitativas cuando necesites hacer lo siguiente:

  • Para obtener información relativa de los valores. Por ejemplo, crea una faceta en http.network.client.geoip.country.iso_code para ver los principales países más afectados por el número de errores 5XX en tus logs de acceso web NGINX, mejorados con Datadog GeoIP Processor.
  • Para contar valores únicos. Por ejemplo, crea una faceta en user.email a partir de tus logs de Kong para saber cuántos usuarios se conectan cada día a tu sitio web.
  • Para filtrar frecuentemente tus logs contra valores particulares. Por ejemplo, crear una faceta en una etiqueta de environment para limitar la solución de problemas a entornos de desarrollo, preparación o producción.

Nota: Aunque no es necesario crear facetas para filtrar valores de atributos, definirlas sobre atributos que utilices a menudo durante las investigaciones puede ayudarte a reducir el tiempo de resolución.

Tipos

Las facetas cualitativas pueden ser de tipo cadena o numérico (entero). Mientras que la asignación de un tipo de cadena a una dimensión funciona en todos los casos, el uso de tipos enteros en una dimensión permite el filtrado de rangos además de todas las capacidades mencionadas anteriormente. Por ejemplo, http.status_code:[200 TO 299] es una consulta válida para una dimensión de tipo entero. Consulta sintaxis de búsqueda como referencia.

Facetas cuantitativas

Medidas

Utiliza medidas cuando necesites hacer lo siguiente:

  • Para agregar valores de múltiples logs. Por ejemplo, crea una medida sobre el tamaño de los cuadros que brinda la caché de Varnish de un servidor de mapas y realiza un seguimiento del rendimiento medio diario, o de los principales remitentes por suma del tamaño del cuadro solicitado.
  • Para filtrar por rangos tus logs. Por ejemplo, crea una medida sobre el tiempo de ejecución de las tareas de Ansible y ve la lista de los servidores que tienen el mayor número de ejecuciones que tardan más de 10s.
  • Para clasificar logs contra ese valor. Por ejemplo, crea una medida sobre la cantidad de pagos realizados con tu microservicio de Python. A continuación, puedes buscar todos los logs, empezando por el de mayor cantidad.

Tipos

Las medidas vienen con un valor entero (largo) o doble, para capacidades equivalentes.

Unidades

Las medidas admiten unidades en tiempo o tamaño para facilitar el manejo de los órdenes de magnitud en tiempo de consulta y visualización.

tipounidad(es)
BYTESbit / byte / kibibyte / mebibyte / gibibyte / tebibyte / pebibyte / exbibyte
TIEMPOnanosegundo / microsegundo / milisegundo / segundo / minuto / hora / día / semana

La unidad es una propiedad de la propia medida, no del campo. Por ejemplo, considera una medida duration en nanosegundos: tienes logs de service:A donde duration:1000 representa 1000 milisegundos, y otros logs de service:B donde duration:500 representa 500 microsegundos:

  1. Escala la duración en nanosegundos para todos los logs que entran con el procesador aritmético. Utiliza un multiplicador *1000000 en logs de service:A, y un multiplicador *1000 en logs de service:B.
  2. Utiliza duration:>20ms (consulta sintaxis de búsqueda como referencia) para consultar logs de forma coherente desde ambos servicios a la vez, y ver un resultado agregado de 1 min como máximo.

Panel de facetas

La barra de búsqueda proporciona el conjunto más completo de interacciones para filtrar y agrupar tus datos. Sin embargo, en la mayoría de los casos, es probable que el panel de facetas sea una forma más directa de navegar por los datos. Abre una faceta para ver un resumen de tu contenido en el contexto de la consulta actual.

Las facetas (cualitativas) vienen con una lista de principales de valores únicos, y un recuento de logs que coinciden con cada uno de ellos:

Faceta de dimensión

Limita la consulta de búsqueda haciendo clic en cualquiera de los valores. Al hacer clic en un valor se alterna entre buscar este valor único y todos los valores. Al hacer clic en las casillas de verificación, se añade o elimina este valor específico de la lista de todos los valores, también puedes buscar en su contenido:

Autocompletar faceta

Las medidas vienen con un control deslizante que indica los valores mínimo y máximo. Utiliza el control deslizante, o introduce valores numéricos, para reducir la consulta de búsqueda a diferentes límites.

Faceta de medidas

Ocultar facetas

Tu organización dispone de toda una colección de facetas para abordar su amplio conjunto de casos de uso en todos los diferentes equipos que utilizan logs. Lo más probable, sin embargo, es que solo un subconjunto de estas facetas sea valioso para ti en un contexto específico de solución de problemas. Oculta las facetas que no necesites de forma rutinaria y conserva solo las facetas más relevantes para tus sesiones para solucionar problemas.

Ocultar faceta

Las facetas ocultas siguen siendo visibles en la búsqueda de facetas (consulta la sección Filtrar facetas) en caso de que lo necesites. Desoculta las facetas ocultas desde ahí.

Desocultar facetas

Las facetas ocultas también se ocultan de la función autocompletar en la barra de búsqueda, y de los desplegables (como medida, agrupar por) en los análisis para el Log Explorer. Sin embargo, las facetas ocultas siguen siendo válidas para las consultas de búsqueda (por ejemplo, si copias y pegas un enlace del Log Explorer).

Las facetas ocultas no tienen ningún impacto aparte del Log Explorer (por ejemplo: Live Tail, monitores o definiciones de widget en dashboards).

Facetas ocultas y compañeros de equipo

Ocultar facetas es específico de tu propio contexto de solución de problemas y no afecta a la vista de tus compañeros de equipo, a menos que actualices una Vista guardada. Las facetas ocultas forman parte del contexto guardado en una vista guardada.

Facetas de grupo

Las facetas se agrupan en temas significativos para facilitar la navegación en la lista de facetas. La asignación o reasignación de un grupo para una faceta solo afecta a la visualización en la lista de facetas y no tiene ningún impacto en las capacidades de búsqueda y análisis.

Agrupar facetas

Para agrupar facetas:

  1. Haz clic en el engranaje de la faceta.
  2. Selecciona Edit facet (Editar faceta).
  3. Haz clic en la sección Advanced options (Opciones avanzadas) para ampliarla.
  4. En el campo Group (Grupo), introduce el nombre del grupo en el que quieres que esté la faceta.
  5. Haz clic en Update (Actualizar).

Filtrar facetas

Utiliza el cuadro de búsqueda en las facetas para reducir toda la lista de facetas y navegar más rápidamente hasta aquella con la que necesitas interactuar. La faceta de búsqueda utiliza tanto el nombre para mostrar de la faceta como el nombre del campo de la faceta para limitar los resultados.

Buscar facetas

Facetas con alias

Algunas facetas pueden tener alias (consulta la sección faceta con alias). Las facetas con alias siguen siendo válidas para segregar, pero tu organización las considera obsoletas:

Facetas con alias

En solucionar problemas, es más probable que encuentres contenidos de otros equipos (junto con contenidos de tu equipo) en la faceta standard (estándar) que en la faceta aliased (con alias). Esto facilita la correlación de contenidos de diversos orígenes.

Si ves una faceta con alias en tu lista de facetas, considera usar la faceta standard (estándar) en su lugar, haciendo clic en el elemento del menú switch to alias (cambiar a alias). Esta acción oculta la faceta con alias y desoculta la faceta estándar. Si esto te obliga a actualizar una vista guardada, considera guardar la vista guardada para que el alias se aplique a todos los que utilicen esta vista guardada.

Cambiar faceta

Es posible que desees conservar la versión aliased (con alias) no estándar de la faceta si estás solucionando problemas contra contenido antiguo (antes de que tu organización haya configurado los alias para esta faceta).

Gestionar facetas

Facetas predeterminadas

Las facetas más comunes, como Host y Service, vienen listas para usar, por lo que puedes empezar a solucionar problemas de inmediato una vez que tus logs fluyan hacia los índices de log.

Las facetas de Atributos reservados y la mayoría de Atributos estándar están disponibles por defecto.

Faceta de índice

La faceta de índice es una faceta específica que solo aparece si tu organización tiene múltiples índices, o si tienes vistas históricas activas. Utiliza esta faceta si deseas reducir tu consulta a un subconjunto de índices.

Crear facetas

Crear facetas

Como práctica recomendada, considera siempre utilizar una faceta existente en lugar de crear una nueva (consulta la sección alias-facets). Utilizar una faceta única para obtener información de naturaleza similar fomenta la colaboración entre equipos.

Para crear una faceta en una matriz de objetos JSON, primero usa un analizador grok para extraer el atributo y luego crea una faceta para ese atributo.

Nota: Una vez creada una faceta, su contenido se rellena para todos los nuevos logs. Para un uso óptimo de la solución Log Management, Datadog recomienda utilizar como máximo 1000 facetas.

Panel lateral de log

La forma más sencilla de crear una faceta es añadirla desde el panel lateral de log, donde la mayoría de los detalles de la faceta -como el nombre del campo o el tipo de datos subyacente- están precargados y solo es cuestión de volver a comprobarlos. Navega en el Log Explorer a cualquier log de interés que contenga el campo para crear una faceta. Abre el panel lateral para este log, haz clic en el campo correspondiente (ya sea en etiquetas o en atributos) y crea una faceta desde allí:

  • Si el campo contiene un valor de cadena, solo está disponible la creación de facetas.
  • Si el campo tiene un valor numérico, se pueden crear tanto facetas como medidas.
Crear una faceta desde un atributo

Nota: Como práctica recomendada, es recomendado utilizar no más de 1000 facetas.

Lista de faceta

En caso de que no sea posible encontrar una faceta que coincida con el log, crea una nueva faceta directamente desde el panel de facetas utilizando el botón add facet (Añadir faceta).

Define el nombre del campo subyacente (clave) de esta faceta:

  • Utiliza el nombre de la clave de etiqueta para etiquetas.
  • Utiliza la ruta de atributo para los atributos, con el prefijo @.

El autocompletado basado en el contenido en logs de las vistas actuales te ayuda a definir el nombre de campo adecuado. Pero puedes utilizar prácticamente cualquier valor aquí, específicamente en el caso de que aún no tengas logs coincidentes que fluyan en tus índices.

Crear faceta desde cero

Facetas de alias

La agrupación de contenidos similares en una única faceta permite el análisis entre equipos y facilita el trabajo entre equipos para solucionar problemas; consulta Convención de nomenclatura como referencia.

Utiliza los alias como opción para realinear sin problemas los equipos que dependen de convenciones de nomenclatura incoherentes. Con los alias, puedes hacer que todos ellos utilicen la faceta estándar que surge de tu organización.

Utilizar alias de faceta a faceta

Esta es la mejor opción si varios equipos de tu organización ya han creado múltiples facetas para contenidos similares.

Al colocar un alias en una faceta aliased (con alias) hacia una faceta standard (estándar):

  • Los usuarios pueden utilizar facetas aliased (con alias) y facetas standard (estándar) para solucionar problemas. Es posible que prefieran las facetas estándar, que facilitan la correlación de contenidos procedentes de fuentes diversas y posiblemente heterogéneas.
  • Se anima a los usuarios a utilizar la faceta estándar en lugar de la faceta con alias.

Para convertir una faceta en una faceta estándar, selecciona la acción Alias to... en el menú de facetas. Elige la faceta de destino entre todas las facetas estándar de tu organización.

modo de alias

Utilizar alias de atributo a faceta

Esta es la mejor opción si incorporas logs desde nuevas fuentes. En lugar de crear una faceta para algún campo en esos logs, y justo después dejar obsoleta esta faceta al colocar un alias en una faceta estándar, utiliza un alias en el campo directamente a una faceta existente:

Utiliza un alias en una faceta desde un atributo

Borrar una faceta

Borrar una faceta que está siendo utilizada en índices, monitores, dashboards, consultas de restricción, o por otros equipos puede causar que las configuraciones se rompan.

Para eliminar una faceta, sigue estos pasos:

  • Haz clic en Showing xx of xx (Mostrar xx de xx) en la parte superior del panel de facetas.
  • Buscar tu faceta.
  • Haz clic en el icono del lápiz de tu faceta.
  • Haz clic en Delete (Borrar).

Leer más

Más enlaces, artículos y documentación útiles:

Realizar análisis de los logsDOCUMENTACIÓN more more Detecta patrones dentro de tus logsDOCUMENTACIÓN more more Aprende a procesar tus logsDOCUMENTACIÓN more more Configura tu Log Explorer automáticamenteDOCUMENTACIÓN more more