本文以单行全文模式为例，介绍如何通过日志服务控制台创建采集火山引擎云服务器 ECS 日志的采集配置。 ## 前提条件 * 已创建日志项目和日志主题。 * 已创建可用的机器组。 ## 创建采集配置 ### 选择日志空间 1. 日志主题创建成功后，在弹窗中单击**继续：接入日志数据**。若已提前创建好日志主题，可登录[日志服务控制台](https://console.volcengine.com/tls)，在顶部导航栏中，选择日志服务所在的**华北2（北京）** 地域，在左侧导航栏中，选择**常用功能** \> **日志接入**。 2. 在 **LogCollector日志采集**页签中，单击**创建采集配置**。 3. 在**选择日志空间**步骤，配置如下参数，然后单击**下一步：选择机器组**。 |参数 |示例 |说明 | |---|---|---| |日志项目 |project\-a |采集到的日志数据将被存储到该日志项目中。 | |日志主题 |topic\-a |采集到的日志数据将被存储到该日志主题中。 | ### 选择机器组 1. 在**选择日志空间**步骤，配置如下参数。 |参数 |示例 |说明 | |---|---|---| |安装 LogCollector |/ |本示例选择火山 ECS ，无需手动安装 LogCollector。 | |选择机器组 |Host\-group\-a |选择需要被采集日志的机器组。|\ | | |如果列表中无可用的机器组，您需要先创建机器组。 | 2. 确认参数后，单击**下一步：采集规则**。 ### 配置采集规则 1. #### 在**采集规则**步骤，配置如下参数。 2. 配置基础信息。 |参数 |示例 |说明 | |---|---|---| |规则名称 |单行全文采集 |LogCollector 采集配置的名称。|\ | | |支持单击**导入其他采集配置**，选择**日志Region**、**日志项目**和**采集配置**，将已创建的采集配置导入到当前配置中，只需要指定采集规则名称即可。 | |容器日志采集 |不启用 |采集宿主机日志及 Sidecar 方式采集容器日志时，此配置应维持默认的关闭状态。 | |采集路径 |`/var/log/access.log` |日志所在的目录和文件名，LogCollector 会按照采集路径中的目录部分匹配符合规则的目录，监听这些目录下符合规则的日志文件。最多设置 10 个不同的采集路径。|\ | | |采集路径可以指定完整的目录和文件名，也可以使用通配符模糊匹配。|\ | | ||\ | | |* 日志采集路径中指定通配符`**`时，表示多层目录匹配，仅在此时，日志服务才会监听指定目录下深至8级的子目录。|\ | | |* 日志服务目前支持的通配符包括星号`*`、双星号`**`和半角问号`?`。双星号`**`最多只能配置一个。 | |强制采集 |不强制采集 |强制采集仅对 LogCollector 2.1.0 及以后版本生效，可能会产生重复采集费用。|\ | | ||\ | | |* 强制采集：不管采集路径匹配到的文件被其他采集配置命中与否，当前配置都将强制采集这个文件。|\ | | |* 不强制采集：采集路径匹配到的文件被其他采集配置命中时，只有“最新配置”能采集到这个文件。 | |采集路径黑名单 |不启用 |配置采集路径黑名单之后，日志服务通过 LogCollector 采集日志时，会忽略指定的目录和文件。选择**启用**后，请根据页面提示设置黑名单目录和文件。 | 3. 配置日志格式。 |参数 |示例 |说明 | |---|---|---| |采集策略 |增量 |选择日志的采集策略。|\ | | ||\ | | |* 全量：从文件起始位置完整采集所有日志（含历史日志）。|\ | | |* 增量：基于增量阈值采集尾部日志，并实时采集文件新增日志。触发 LogCollector 日志采集行为后，不支持通过修改采集策略为**全量**，来采集该文件的历史日志数据。 | |输入增量阈值 |10240 KiB |设置增量采集策略时，需输入增量阈值。|\ | | |配置首次生效时，匹配文件的起始采集位置距离文件结尾的大小。如果文件大小小于该值，则从头开始采集。 | |采集模式 |单行全文 |LogCollector 解析日志文件的模式。|\ | | |在单行全文模式下，以 `\n` 作为一条日志的结束符，每行日志都会被封装到字段 `__content__` 中。原始日志本身不再进行结构化处理。 | |时间字段 |采集时间点 |设置日志采集时间字段。|\ | | ||\ | | |* 采集时间点：将采集日志时 LogCollector 所在服务器的系统时间作为日志时间戳。|\ | | |* 自定义时间：提取原始日志中自带的时间作为日志时间戳。需输入时间键名称、时间正则及转换格式等配置。 | |忽略采集未更新文件 |不启用 |开启后，当日志文件更新时间不在您所指定的时间范围内时，LogCollector 会忽略该文件，不进行采集。 | |上传解析失败日志 |启用 |所有解析失败的日志，均以配置的失败日志键名称字段作为键名称（Key），原始日志内容作为值（Value）上传到日志服务。 | |失败日志键名称 |LogParseFailed |失败日志键名称，默认为 `LogParseFailed`。 | 4. 配置插件。 |参数 |示例 |说明 | |---|---|---| |插件配置 |不启用 |通过 LogCollector 采集文本日志时，如果业务日志结构复杂、格式不固定，无法通过 JSON 模式等常规的日志采集模式进行解析时，可以通过 LogCollector 插件进行采集后处理。详细说明请参考[插件概述](/docs/6470/147805)。 | 5. 配置高级设置。请根据您的需求选择高级配置。如果没有特殊需求，建议保持默认配置。本示例保持默认。 |参数 |示例 |说明 | |---|---|---| |过滤器 |不启用 |开启后，通过正则表达式配置过滤规则，完全匹配正则表达式的日志才会被采集上报，帮助您筛选出有价值的日志数据。 | |上传hostname字段 |不启用 |在原始日志中增加一个字段，用于记录日志源的 hostname。字段名可以通过 **hostname键名称**指定，默认为 `hostname`。 | |解析采集路径 |不启用 |通过正则表达式提取采集路径中的字段，并将其作为元数据添加到日志数据中。 | |HashKey路由Shard |不启用 |指定 HashKey 将数据写入到符合范围要求的日志分区。 | |上传原始日志 |不启用 |将原始日志作为一个字段上传到日志服务。 | |上传常量字段 |不启用 |将指定字段的 Key 和 Value 封装到每一条日志中。 | |上传机器组Label |不启用 |将机器组的 Label 信息上传到日志服务。 | |扩展配置 |不配置 |LogCollector 扩展配置。 | 6. 确认采集配置后，单击**下一步：检查索引配置。** ## 后续操作配置索引之后，您才能在控制台中实时预览采集到的日志数据，或进行日志检索与分析。详细操作请参考[配置索引](/docs/6470/112665)。