配置存储层

本页内容：

• 概述
• 配置存储层的步骤

概述

本节详细说明如何在 ManageEngine Log360 Cloud中配置存储层。存储层通过为特定日志类型、来源和可选过滤条件设置不同的策略，帮助您定义自定义的日志保留策略。这确保关键日志能被更长时间保存，同时帮助控制对不太重要数据的存储使用。

配置包括选择要管理的日志、设置归档和搜索存储的保留期限、应用过滤器以及启用每日摄取警报。您还可以创建多个条件组来管理传入日志如何被路由到各个存储层。

配置存储层的步骤

1. 登录您的 Log360 Cloud 账户。
2. 转到 设置 选项卡并选择 管理.
3. 在左侧窗格中，导航至 数据存储 并点击 存储层.
4. 在存储层窗口中，点击 添加存储层。
注意：您最多可以在 ManageEngine Log360 Cloud 中创建 20 个存储层。



图 1：配置存储层

5. 在添加 存储层 窗口中配置以下字段。
   • 名称：输入存储层名称（最多 30 个字符）。

   

   图 2：为存储层命名

   • 日志类型： 从下拉列表中选择一个或多个日志类型。
   注意：默认选中所有日志类型。您最多可从下拉列表中选择 50 种日志类型。

   

   图 3：配置日志类型

   • 日志来源：
     • 点击 图标以选择该层应适用的日志来源。

     

     图 4：配置日志来源

     • 您可以选择预定义的来源组或单个设备。或者，使用 全选 复选框以包含所有可用日志来源。
     • 选择所需的日志来源后，点击 确定 进行保存。

     

     图 5：选择日志来源

     注意：默认选中所有日志来源。您最多可选择 10,000 个日志来源。
     • 若要进一步缩小选择范围，点击 图标。

     

     图 6：创建过滤器

     • 这将打开 创建过滤器 窗口，您可以定义规则，只包含符合特定属性的日志。
     • 从第一个下拉列表中选择一个字段。
     • 选择一个条件，如 等于或不等于.
     • 在第三个字段中输入您要过滤的字段值。

     

     图 7：过滤日志来源

     • 若要向同一组添加另一条件，点击 现有组旁的

     

     图标。

     • 图 8：添加条件 同一组内的所有条件将根据下拉列表中选定的 AND/OR

     

     选项一起进行评估。

     • 图 9：配置条件 点击添加组

     

     定义另一组条件。

     • 图 10：添加组 同一组内的所有条件将根据下拉列表中选定的 当存在多个组时，使用它们之间的下拉列表选择是否应采用
     逻辑。 注意：AND 表示组内所有条件必须为真，日志才匹配。 OR

     

     表示组内至少有一个条件为真，日志才匹配。匹配该组条件集的日志将被路由至相应的存储层。

     图 11：配置组 注意： 您最多可以在过滤器配置中添加 5 个组 。每个组最多可包含.
     • 10 个条件 您可以通过点击相应条件旁的 图标 删除特定条件， 并通过点击关联组的 图标 图标 删除整个组。

   注意：以下示例详细说明了如何使用带 AND/OR 逻辑的组和多条件应用过滤器。

   示例：通过排除噪声 Windows 事件过滤重要的 Windows 日志

   组 1（组内条件间为 AND 逻辑）：

   • 条件 1：日志来源类型 = Windows
   • 条件 2：事件 ID 介于 4620 和 4780 之间
   • 条件 3：严重性等于 Critical、Success、Failure

   组 2（条件之间为 OR 逻辑）：

   • 条件 1：事件 ID 不等于 4662
   • 条件 2：事件 ID 不等于 4658
   • 条件 3：事件 ID 不等于 4690

   这些组使用 AND 逻辑连接，因此只有满足组 1 中所有条件且满足组 2 中至少一个条件的关键 Windows 日志才会被路由到存储层，确保排除无关的事件 ID。

   如果不满足条件，日志将存储在 默认存储层.

   • 搜索保留： 定义日志在可搜索存储中保持可用的时长。输入数值，并使用旁边的下拉菜单选择单位，如天、周、月或年。
   • 归档保留： 定义日志在归档存储中保留的时长。与搜索保留类似，输入持续时间并从下拉菜单中选择单位。

   

   图 12：配置搜索和归档保留

   图 11：配置组 搜索保留期必须短于归档保留期。
6. 点击 高级配置 （可选）以：
   • 启用 “ 当每日摄取量超过时通知 ”复选框，为此层设置每日摄取限制。
   • 输入阈值，单位为 GB（千兆字节），当日志量超过指定限制时接收电子邮件警报。默认分配为 1 GB。

   

   图 13：高级配置

   • 从 选择模板 下拉菜单中，选择达到阈值时使用的电子邮件通知模板。

   

   图 14：高级配置

注意：您也可以点击 图标创建自定义模板（如有需要）。当您选择创建新模板时，任何未保存的层配置更改将不会保留。您需要 重新输入所有之前的层设置 后再点击 创建。请按照以下步骤创建自定义模板。
1. 在弹出窗口中，点击 继续 以继续。



图 15：配置邮件通知模板

2. 在 创建模板 窗口中，输入模板名称和可选描述。
3. 从 模块 下拉菜单中，选择相应模块，如 Storage Tiers。
4. 使用 通过通知 下拉菜单选择通知发送方式：电子邮件、短信或两者。



图 16：创建模板

5. 在电子邮件标签页下：
   • 在 收件人 字段中，输入收件人电子邮件地址。
   • 输入主题行。
   • 在 消息 字段中撰写通知内容。可从右侧列表插入宏。



图 17：电子邮件通知的邮件模板

6. 若要配置短信通知，请切换到短信标签页:
   • 在 发送至 字段中，输入带国家码的手机号码。多个号码用逗号分隔。
   • 在 消息 字段中，输入短信内容。此处也可使用宏。



图 18：短信通知的短信模板

注意：配置通知模板时，请使用电话号码格式：+01-XXXXXXXXXX。

7. 模板配置完成后，点击 保存 以保存模板。
8. 您也可以点击 预览 以查看保存前消息的显示效果。
7. 配置完成后，点击 创建 添加该存储层。



图 19：添加存储层

8. 它将列在 Storage Tiers 表中，您可以查看和管理所有配置的存储层。



图 20：已配置的存储层列表

另请阅读

本页详细介绍了如何在 ManageEngine Log360 Cloud 中设置和配置存储层。要利用并使用 Stats Analysis 和 Storage Tiers 的功能，请阅读：

• 管理存储层
• 使用统计分析