Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Declaraciones de origen
En Amazon Kinesis Agent para Microsoft Windows,Declaraciones de origenDescriba dónde y qué datos de registro, eventos y métrica deben recopilarse. También brindan la posibilidad de especificar información que permita analizar esos datos de modo que puedan transformarse. En las secciones siguientes, se describen las configuraciones de los tipos de origen integrados que están disponibles en Kinesis Agent para Windows. Como Kinesis Agent para Windows es ampliable, se pueden agregar tipos de orígenes personalizados. Normalmente, todos los tipos de orígenes necesitan pares clave-valor específicos de los objetos de configuración que son importantes para cada tipo de origen.
Todas las declaraciones de origen deben tener al menos los siguientes pares clave-valor:
Id
-
Cadena única que identifica un determinado objeto de origen en el archivo de configuración.
SourceType
-
Nombre del tipo de origen de este objeto de origen. El tipo de origen especifica el origen de los datos del registro, el evento o la métrica que este objeto de origen recopila. También controla qué otros aspectos del origen pueden declararse.
Para ver ejemplos de archivos de configuración completos en los que se utilizan diferentes tipos de declaraciones de origen, consulte Transmisión a desde varios orígenes de Kinesis Data Streams.
Temas
- Configuración de DirectorySource
- Configuración de ExchangeLogSource
- Configuración de W3SVCLogSource
- Configuración de UlsSource
- Configuración de WindowsEventLogSource
- Configuración de WindowSeventLogPollingSource
- Configuración de WindowsETWEventSource
- Configuración de WindowsPerformanceCounterSource
- Origen de métricas integrado en Windows en
- Lista de métricas del agente Kinesis para Windows
- Configuración de Bookmark
Configuración de DirectorySource
Overview
El tipo de origen DirectorySource
recopila registros de archivos que están almacenados en el directorio especificado. Como los archivos de registro están disponibles en muchos formatos diferentes, la declaración DirectorySource
permite especificar el formato de los datos del archivo de registro. Posteriormente, el contenido del registro se puede convertir a un formato estándar, como JSON o XML, antes de transmitirlo a los diferentes servicios de AWS.
A continuación, se muestra una declaración DirectorySource
de ejemplo:
{ "Id": "myLog", "SourceType": "DirectorySource", "Directory": "C:\\Program Data\\MyCompany\\MyService\\logs", "FileNameFilter": "*.log", "IncludeSubdirectories": true, "IncludeDirectoryFilter": "cpu\\cpu-1;cpu\\cpu-2;load;memory", "RecordParser": "Timestamp", "TimestampFormat": "yyyy-MM-dd HH:mm:ss.ffff", "Pattern": "\\d{4}-\\d{2}-\\d(2}", "ExtractionPattern": "", "TimeZoneKind": "UTC", "SkipLines": 0, "Encoding": "utf-16", "ExtractionRegexOptions": "Multiline" }
Todas las declaraciones DirectorySource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"DirectorySource"
(obligatorio). Directory
-
Ruta del directorio que contiene los archivos de registro (obligatorio).
FileNameFilter
-
Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si tiene varios patrones de nombre de archivo de registro, esta función le permite utilizar un único
DirectorySource
Como se muestra en el ejemplo siguiente.FileNameFilter: "*.log|*.txt"
Los administradores del sistema a veces comprimen los archivos de registro antes de archivarlos. Si especifica
"*.*"
inFileNameFilter
, ahora se excluyen los archivos comprimidos conocidos. Esta función impide que.zip
,.gz
, y.bz2
se transmitan accidentalmente. Si este par clave-valor no se especifica, los datos de todos los archivos del directorio se recopilan de forma predeterminada. IncludeSubdirectories
Especifica que se supervisan los subdirectorios a una profundidad arbitraria limitada por el sistema operativo. Esta función es útil para monitorear servidores web con múltiples sitios web. También puede utilizar la
IncludeDirectoryFilter
atributo para supervisar sólo ciertos subdirectorios especificados en el filtro.RecordParser
-
Especifica cómo el tipo de origen
DirectorySource
debe procesar los archivos de registro que se encuentran en el directorio especificado. Este par clave-valor es obligatorio y los valores válidos son los siguientes:-
SingleLine
— Cada línea del archivo de registro es un registro de registro. -
SingleLineJson
— Cada línea del archivo de registro es un registro de registro con formato JSON. Este analizador resulta útil si desea añadir más pares clave-valor al archivo JSON utilizando la decoración de objetos. Para obtener más información, consulte Configuración de decoraciones de receptores. Para ver un ejemplo en el que se utiliza el analizador de recursosSingleLineJson
, consulte Tutorial: Transmitir archivos de registro JSON a Amazon S3 mediante Kinesis Agent para Windows. -
Timestamp
— Una o más líneas pueden incluir un registro de registro. Esta entrada de registro comienza con una marca temporal. Esta opción requiere que se especifique el par clave-valorTimestampFormat
. -
Regex
— Cada registro comienza con texto que coincide con una expresión regular determinada. Esta opción requiere que se especifique el par clave-valorPattern
. -
SysLog
— Indica que el archivo de registro está escrito en el archivosyslogformato estándar. Las entradas del archivo de registro se analizan en función de dicha especificación. -
Delimited
— Una versión más simple del analizador de registros Regex donde los elementos de datos de los registros están separados por un delimitador consistente. Esta opción resulta más fácil de utilizar y se ejecuta más rápido que el analizador Regex, por lo que es la preferida cuando está disponible. Si utiliza esta opción, debe especificar el par clave-valorDelimiter
.
-
TimestampField
-
Especifica qué campo JSON contiene la marca temporal del registro. Solo se utiliza con
SingleLineJson
RecordParser
. Este par clave-valor es opcional. Si no se especifica, Kinesis Agent para Windows utiliza como marca temporal el momento en que se leyó el registro. Una ventaja de especificar este par clave-valor es que las estadísticas de latencia generadas por Kinesis Agent para Windows son más precisas. TimestampFormat
-
Especifica cómo se van a analizar la fecha y la hora asociadas con el registro. El valor es la cadena
epoch
o una cadena con formato de fecha y hora de .NET. Si el valor esepoch
, el valor temporal se analizará utilizando el sistema temporal UNIX Epoch. Para obtener más información sobre el sistema temporal UNIX Epoch, consulte Unix time(Tiempo Unix). Para obtener más información acerca las cadenas con formato de fecha y hora de .NET, consulte Cadenas con formato de fecha y hora personalizado en la documentación de Microsoft .NET. Este par clave-valor solo es obligatorio si se especifica el analizador de registros Timestamp
o si se especifica el analizador deSingleLineJson
registros junto con el par clave-valorTimestampField
. Pattern
-
Especifica una expresión regular que debe coincidir con la primera línea de una entrada que podría estar repartida en varias líneas. Este par clave-valor solo es necesario en el analizador de registros
Regex
. ExtractionPattern
-
Especifica una expresión regular que debe utilizar grupos con nombre. El registro se analiza utilizando esta expresión regular y los grupos con nombre conforman los campos del registro analizado. Estos campos se utilizan después como base para crear objetos JSON, objetos XML o documentos que los receptores transmiten a diversos servicios de AWS. Este par clave-valor es opcional y está disponible con la
Regex
y el analizador de marcas de tiempo.El nombre del grupo
Timestamp
se procesa de forma diferente, lo que le indica al analizadorRegex
cuál es el campo que contiene la fecha y la hora de cada entrada del archivo de registro. Delimiter
-
Especifica el carácter o cadena que separa los elementos de cada entrada del registro. Este par clave-valor debe utilizarse (y solamente puede utilizarse) con el analizador de registros
Delimited
. Utilice la secuencia de dos caracteres\t
para representar el carácter de tabulación. HeaderPattern
-
Especifica una expresión regular que busca la línea del archivo de registro que contiene el conjunto de encabezados de la entrada del registro. Si el archivo de registro no contiene información sobre el encabezado, utilice el par clave-valor
Headers
para especificar los encabezados implícitos. El par clave-valorHeaderPattern
es opcional y solo es válido con el analizador de registrosDelimited
.nota
Si hay una entrada en una columna con un encabezado vacío (la longitud es 0), los datos de esa columna se filtrarán desde la salida final del resultado analizado de
DirectorySource
. Headers
-
Especifica los nombres de las columnas de datos que se han analizado con el delimitador especificado. Este par clave-valor es opcional y solo es válido con el analizador de registros
Delimited
.nota
Si hay una entrada en una columna con un encabezado vacío (la longitud es 0), los datos de esa columna se filtrarán desde la salida final del resultado analizado de
DirectorySource
. RecordPattern
-
Especifica una expresión regular que identifica las líneas del archivo de registro que contienen datos de la entrada del registro. Salvo la línea de encabezado opcional identificada por
HeaderPattern
, las líneas que no coinciden con el valor deRecordPattern
especificado no se tienen en cuenta durante el procesamiento del registro. Este par clave-valor es opcional y solo es válido con el analizador de registrosDelimited
. Si no se proporciona, de forma predeterminada, se considera que las líneas que no coinciden con el valor opcional deHeaderPattern
o deCommentPattern
son líneas que contienen datos de registro que se pueden analizar. CommentPattern
-
Especifica una expresión regular que identifica las líneas del archivo de registro que deberían excluirse antes de analizar los datos del archivo de registro. Este par clave-valor es opcional y solo es válido con el analizador de registros
Delimited
. Si no se proporciona, de forma predeterminada, se considera que las líneas que no coinciden con el valor opcional deHeaderPattern
son líneas que contienen datos de registro que se pueden analizar, a menos que se especifiqueRecordPattern
. TimeZoneKind
-
Especifica si la marca temporal del archivo de registro corresponde a la zona horaria local o a la zona horaria UTC. Este valor es opcional y su valor predeterminado es UTC. Los únicos valores válidos para este par clave-valor son
Local
oUTC
. La marca temporal nunca se modifica siTimeZoneKind
no se especifica o si el valor es UTC. La marca de tiempo se convierte a UTC cuando el parámetroTimeZoneKind
Valor esLocal
El receptor que recibe la marca temporal es CloudWatch Logs o el registro analizado se envía a otros receptores. Las fechas y las horas insertadas en mensajes no se convierten. SkipLines
-
Cuando se especifica, controla el número de líneas que se omiten al comienzo de cada archivo de registro antes de que se realice el análisis. Es opcional y el valor predeterminado es 0.
- Codificación
De forma predeterminada, Kinesis Agent para Windows puede detectar automáticamente la codificación desde bytemark. Sin embargo, es posible que la codificación automática no funcione correctamente en algunos formatos Unicode antiguos. En el ejemplo siguiente se especifica la codificación necesaria para transmitir un registro de Microsoft SQL Server.
"Encoding": "utf-16"
Para obtener una lista de los nombres de codificación, consulteLista de codificaciones
en la documentación de Microsoft.NET. - ExtraccionRegexOptions
Puede usar
ExtractionRegexOptions
Para simplificar las expresiones regulares. Este par clave-valor es opcional. El valor predeterminado es"None"
.En el siguiente ejemplo se especifica que la
"."
coincide con cualquier carácter, incluyendo\r\n
."ExtractionRegexOptions" = "
Multiline
"Para obtener una lista de los posibles campos de ExtractionRegexOptions, consulte laRegexOptions enum
en la documentación de Microsoft.NET.
Analizador de registros Regex
Puede analizar registros de texto no estructurados utilizando el analizador de registros Regex
con los pares clave-valor TimestampFormat
, Pattern
y ExtractionPattern
. Por ejemplo, supongamos que tiene un archivo de registro similar al siguiente:
[FATAL][2017/05/03 21:31:00.534][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.File: EQCASLicensingSubSystem.cpp' [FATAL][2017/05/03 21:31:00.535][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.Line: 3999'
Puede especificar las siguientes expresiones regulares para que el par clave-valor Pattern
le ayude a dividir el archivo de registro en varios registros distintos:
^\[\w+\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]
Esta expresión regular coincidirá con la siguiente secuencia:
-
Comienzo de la cadena que se está evaluando.
-
Uno o varios caracteres entre corchetes.
-
Una marca temporal entre corchetes. La marca temporal encontrará coincidencias con la siguiente secuencia:
-
Un año de cuatro dígitos
-
Una barra inclinada
-
Un mes de dos dígitos.
-
Una barra inclinada
-
Un día de dos dígitos.
-
Un carácter de espacio
-
Una hora de dos dígitos
-
Un símbolo de dos puntos
-
Un minuto de dos dígitos
-
Un símbolo de dos puntos
-
Un segundo de dos dígitos
-
Un punto
-
Un milisegundo de tres dígitos
-
Puede especificar el siguiente formato para que el par clave-valor TimestampFormat
convierta el texto de la marca temporal en un formato de fecha y hora:
yyyy/MM/dd HH:mm:ss.fff
Puede utilizar la siguiente expresión regular para extraer los campos de la entrada de registro mediante el par clave-valor ExtractionPattern
.
^\[(?<Severity>\w+)\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]\[[^]]*\]\[[^]]*\]\[[^]]*\]\[(?<SubSystem>\w+)\]\[(?<Module>\w+)\]\[[^]]*\] '(?<Message>.*)'$
Esta expresión regular coincidirá con los siguientes grupos en este orden:
-
Severity
: uno o varios caracteres entre corchetes. -
TimeStamp
— Consulte la descripción anterior de la marca de tiempo. -
Se omiten tres secuencias de cero o más caracteres entre corchetes sin nombre.
-
SubSystem
: uno o varios caracteres entre corchetes. -
Module
: uno o varios caracteres entre corchetes. -
Se omite una secuencia de cero o más caracteres entre corchetes sin nombre.
-
Se omite un espacio sin nombre.
-
Message
— Cero o más caracteres rodeados de comillas simples.
La siguiente declaración de origen combina estas expresiones regulares y el formato de fecha y hora a fin de proporcionar instrucciones completas para que analice este tipo de archivo de registro.
{ "Id": "PrintLog", "SourceType": "DirectorySource", "Directory": "C:\\temp\\PrintLogTest", "FileNameFilter": "*.log", "RecordParser": "Regex", "TimestampFormat": "yyyy/MM/dd HH:mm:ss.fff", "Pattern": "^\\[\\w+\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]", "ExtractionPattern": "^\\[(?<Severity>\\w+)\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]\\[[^]]*\\]\\[[^]]*\\]\\[[^]]*\\]\\[(?<SubSystem>\\w+)\\]\\[(?<Module>\\w+)\\]\\[[^]]*\\] '(?<Message>.*)'$", "TimeZoneKind": "UTC" }
nota
Las barras diagonales invertidas de los archivos con formato JSON deben incluirse en secuencias de escape utilizando barras diagonales invertidas adicionales.
Para obtener más información sobre las expresiones regulares, consulte Lenguaje de expresiones regulares - Referencia rápida
Analizador de registros Delimited
Puede utilizar el analizador de registros Delimited
para analizar registros semiestructurados y archivos de datos en los que hay una secuencia de caracteres que se utiliza sistemáticamente para separar las columnas de datos de cada fila de datos. Por ejemplo, los archivos CSV utilizan una coma para separar las columnas de datos, mientras que los archivos TSV utilizan una tabulación.
Supongamos que desea analizar un archivo de registro con el formato de base de datos NPS
"NPS-MASTER","IAS",03/22/2018,23:07:55,1,"user1","Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,0,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,, "NPS-MASTER","IAS",03/22/2018,23:07:55,3,,"Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,16,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
El archivo de configuración appsettings.json
del siguiente ejemplo contiene una declaración DirectorySource
que utiliza el analizador de registros Delimited
para analizar este texto en una representación de objetos. A continuación, transmite los datos con formato JSON a Kinesis Data Firehose:
{ "Sources": [ { "Id": "NPS", "SourceType": "DirectorySource", "Directory": "C:\\temp\\NPS", "FileNameFilter": "*.log", "RecordParser": "Delimited", "Delimiter": ",", "Headers": "ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version", "TimestampField": "{Record-Date} {Record-Time}", "TimestampFormat": "MM/dd/yyyy HH:mm:ss" } ], "Sinks": [ { "Id": "npslogtest", "SinkType": "KinesisFirehose", "Region": "us-west-2", "StreamName": "npslogtest", "Format": "json" } ], "Pipes": [ { "Id": "W3SVCLog1ToKinesisStream", "SourceRef": "NPS", "SinkRef": "npslogtest" } ] }
Los datos con formato JSON que se transmiten a Kinesis Data Firehose tienen un aspecto similar al siguiente:
{ "ComputerName": "NPS-MASTER", "ServiceName": "IAS", "Record-Date": "03/22/2018", "Record-Time": "23:07:55", "Packet-Type": "1", "User-Name": "user1", "Fully-Qualified-Distinguished-Name": "Domain1\\user1", "Called-Station-ID": "", "Calling-Station-ID": "", "Callback-Number": "", "Framed-IP-Address": "", "NAS-Identifier": "", "NAS-IP-Address": "", "NAS-Port": "", "Client-Vendor": "0", "Client-IP-Address": "192.168.86.137", "Client-Friendly-Name": "Nate - Test 1", "Event-Timestamp": "", "Port-Limit": "", "NAS-Port-Type": "", "Connect-Info": "", "Framed-Protocol": "", "Service-Type": "", "Authentication-Type": "1", "Policy-Name": "", "Reason-Code": "0", "Class": "311 1 192.168.0.213 03/15/2018 08:14:29 1", "Session-Timeout": "", "Idle-Timeout": "", "Termination-Action": "", "EAP-Friendly-Name": "", "Acct-Status-Type": "", "Acct-Delay-Time": "", "Acct-Input-Octets": "", "Acct-Output-Octets": "", "Acct-Session-Id": "", "Acct-Authentic": "", "Acct-Session-Time": "", "Acct-Input-Packets": "", "Acct-Output-Packets": "", "Acct-Terminate-Cause": "", "Acct-Multi-Ssn-ID": "", "Acct-Link-Count": "", "Acct-Interim-Interval": "", "Tunnel-Type": "", "Tunnel-Medium-Type": "", "Tunnel-Client-Endpt": "", "Tunnel-Server-Endpt": "", "Acct-Tunnel-Conn": "", "Tunnel-Pvt-Group-ID": "", "Tunnel-Assignment-ID": "", "Tunnel-Preference": "", "MS-Acct-Auth-Type": "", "MS-Acct-EAP-Type": "", "MS-RAS-Version": "", "MS-RAS-Vendor": "", "MS-CHAP-Error": "", "MS-CHAP-Domain": "", "MS-MPPE-Encryption-Types": "", "MS-MPPE-Encryption-Policy": "", "Proxy-Policy-Name": "Use Windows authentication for all users", "Provider-Type": "1", "Provider-Name": "", "Remote-Server-Address": "", "MS-RAS-Client-Name": "", "MS-RAS-Client-Version": "" }
Analizador de registros SysLog
En el caso del analizador de registros SysLog
, la salida analizada del origen contiene la siguiente información:
Atributo | Tipo | Descripción |
---|---|---|
SysLogTimeStamp |
Cadena | Fecha y hora originales del archivo de registro con formato syslog. |
Hostname |
Cadena | Nombre del equipo en el que se encuentra el archivo de registro con formato syslog. |
Program |
Cadena | Nombre de la aplicación o servicio que generó el archivo de registro. |
Message |
Cadena | Mensaje de registro generado por la aplicación o servicio. |
TimeStamp |
Cadena | Fecha y hora analizadas en formato ISO 8601. |
A continuación, se muestra un ejemplo de datos SysLog convertidos a formato JSON:
{ "SysLogTimeStamp": "Jun 18 01:34:56", "Hostname": "myhost1.example.mydomain.com", "Program": "mymailservice:", "Message": "Info: ICID 123456789 close", "TimeStamp": "2017-06-18T01:34.56.000" }
Summary
A continuación, se muestra un resumen de los pares clave-valor disponibles para el origen DirectorySource
y los analizadores RecordParser
relacionados con estos pares clave-valor.
Nombre de clave | RecordParser | Notas |
---|---|---|
SourceType |
Obligatorio en todos los casos | Debe tener el valor DirectorySource |
Directory |
Obligatorio en todos los casos | |
FileNameFilter |
Opcional en todos los casos | |
RecordParser |
Obligatorio en todos los casos | |
TimestampField |
Opcional para SingleLineJson |
|
TimestampFormat |
Obligatorio para Timestamp ; obligatorio para SingleLineJson si se especifica TimestampField . |
|
Pattern |
Obligatorio para Regex |
|
ExtractionPattern |
Opcional para Regex |
Obligatorio para Regex si el receptor especifica un formato json o xml . |
Delimiter |
Obligatorio para Delimited |
|
HeaderPattern |
Opcional para Delimited |
|
Headers |
Opcional para Delimited |
|
RecordPattern |
Opcional para Delimited |
|
CommentPattern |
Opcional para Delimited |
|
TimeZoneKind |
Opcional para Regex , Timestamp , SysLog y SingleLineJson cuando se identifica un campo de marca temporal. |
|
SkipLines |
Opcional en todos los casos |
Configuración de ExchangeLogSource
El tipo ExchangeLogSource
se utiliza para recopilar registros de Microsoft Exchange. Exchange genera registros con diferentes tipos de formatos de registro. Este tipo de origen analiza todos ellos. Aunque es posible analizarlos utilizando el tipo DirectorySource
con el analizador de registros Regex
, resulta mucho más sencillo utilizar ExchangeLogSource
, ya que no es necesario diseñar y proporcionar expresiones regulares para los formatos de los archivos de registro. A continuación, se muestra una declaración ExchangeLogSource
de ejemplo:
{ "Id": "MyExchangeLog", "SourceType": "ExchangeLogSource", "Directory": "C:\\temp\\ExchangeLogTest", "FileNameFilter": "*.log" }
Todas las declaraciones de Exchange pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"ExchangeLogSource"
(obligatorio). Directory
-
Ruta del directorio que contiene los archivos de registro (obligatorio).
FileNameFilter
-
Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.
TimestampField
-
Nombre de la columna que contiene la fecha y la hora del registro. Este par clave-valor es opcional y no tiene que especificarse si el nombre de campo es
date-time
oDateTime
. De lo contrario, es obligatorio.
Configuración de W3SVCLogSource
El tipo W3SVCLogSource
se utiliza para recopilar registros de Internet Information Services (IIS) para Windows.
A continuación, se muestra una declaración W3SVCLogSource
de ejemplo:
{ "Id": "MyW3SVCLog", "SourceType": "W3SVCLogSource", "Directory": "C:\\inetpub\\logs\\LogFiles\\W3SVC1", "FileNameFilter": "*.log" }
Todas las declaraciones W3SVCLogSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"W3SVCLogSource"
(obligatorio). Directory
-
Ruta del directorio que contiene los archivos de registro (obligatorio).
FileNameFilter
-
Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.
Configuración de UlsSource
El tipo UlsSource
se utiliza para recopilar registros de Microsoft SharePoint. A continuación, se muestra una declaración UlsSource
de ejemplo:
{ "Id": "UlsSource", "SourceType": "UlsSource", "Directory": "C:\\temp\\uls", "FileNameFilter": "*.log" }
Todas las declaraciones UlsSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"UlsSource"
(obligatorio). Directory
-
Ruta del directorio que contiene los archivos de registro (obligatorio).
FileNameFilter
-
Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.
Configuración de WindowsEventLogSource
El tipo WindowsEventLogSource
se utiliza para recopilar eventos del servicio Registro de eventos de Windows. A continuación, se muestra una declaración WindowsEventLogSource
de ejemplo:
{ "Id": "mySecurityLog", "SourceType": "WindowsEventLogSource", "LogName": "Security" }
Todas las declaraciones WindowsEventLogSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"WindowsEventLogSource"
(obligatorio). LogName
-
Eventos recopilados en el registro especificado. Los valores habituales son
Application
,Security
ySystem
, pero se puede especificar cualquier nombre de registro de eventos de Windows que sea válido. Este par clave-valor es obligatorio. Query
-
Es opcional y puede limitar los eventos que se van a incluir en la salida de
WindowsEventLogSource
. Si este par clave-valor no se especifica, de forma predeterminada, se incluyen todos los eventos en la salida. Para obtener más información sobre la sintaxis de este valor, consulte Event Queries and Event XMLen la documentación de Windows. Para obtener más información sobre las definiciones de nivel de registro, consulte Event Types en la documentación de Windows. IncludeEventData
-
Es opcional y permite recopilar y transmitir datos de eventos que son específicos de un proveedor y están asociados con los eventos de un registro de Windows que se ha especificado cuando el valor de este par clave-valor es
"true"
. Solo se incluyen los datos de eventos que pueden serializarse correctamente. Este par clave-valor es opcional y, si no se especifica, no se recopilan datos de eventos específicos de un proveedor.nota
Si se incluyen datos de eventos, puede aumentar significativamente la cantidad de datos transmitidos desde este origen. El tamaño máximo de un evento puede ser de 262 143 bytes, incluidos sus datos.
La salida analizada de WindowsEventLogSource
contiene la siguiente información:
Atributo | Tipo | Descripción |
---|---|---|
EventId |
Int | Identificador del tipo de evento. |
Description |
Cadena | Texto que describe los detalles del evento. |
LevelDisplayName |
Cadena | Categoría del evento. Puede ser una de las siguientes: Error, Warning (Advertencia), Information (Información), Success Audit (Resultados positivos de auditoría) o Failure Audit (Resultados negativos de auditoría). |
LogName |
Cadena | Lugar en el que se registró el evento (los valores más comunes suelen ser Application , Security y System , pero hay muchas otras posibilidades). |
MachineName |
Cadena | Equipo que registró el evento. |
ProviderName |
Cadena | Aplicación o servicio que registró el evento. |
TimeCreated |
Cadena | Momento en que tuvo lugar el evento en formato ISO 8601. |
Index |
Int | Lugar del registro donde se encuentra la entrada. |
UserName |
Cadena | Persona que realizó la entrada, si se sabe quién es. |
Keywords |
Cadena | El tipo de evento. Los valores estándar son AuditFailure (eventos de auditoría de seguridad con errores), AuditSuccess (eventos de auditoría de seguridad correctos), Classic (eventos generados con la función RaiseEvent ), Correlation Hint (eventos de transferencia), SQM (eventos del mecanismo de calidad del servicio), WDI Context (eventos contextuales de Infraestructura de diagnóstico de Windows) y WDI Diag (eventos de diagnóstico de Infraestructura de diagnóstico de Windows). |
EventData |
Lista de objetos | (Opcional) Datos adicionales específicos de un proveedor sobre el evento de registro. Solo se incluye si el valor del par clave-valor IncludeEventData es "true" . |
A continuación, se muestra un ejemplo de un evento convertido a formato JSON:
{[ "EventId": 7036, "Description": "The Amazon SSM Agent service entered the stopped state.", "LevelDisplayName": "Informational", "LogName": "System", "MachineName": "mymachine.mycompany.com", "ProviderName": "Service Control Manager", "TimeCreated": "2017-10-04T16:42:53.8921205Z", "Index": 462335, "UserName": null, "Keywords": "Classic", "EventData": [ "Amazon SSM Agent", "stopped", "rPctBAMZFhYubF8zVLcrBd3bTTcNzHvY5Jc2Br0aMrxxx==" ]}
Configuración de WindowSeventLogPollingSource
WindowsEventLogPollingSource
utiliza un mecanismo basado en sondeo para recopilar todos los eventos nuevos del registro de eventos que coincidan con los parámetros configurados. El intervalo de sondeo se actualiza dinámicamente entre 100 ms y 5000 ms dependiendo de cuántos eventos se reunieron durante la última encuesta. A continuación, se muestra una declaración WindowsEventLogPollingSource
de ejemplo:
{ "Id": "MySecurityLog", "SourceType": "WindowsEventLogPollingSource", "LogName": "Security", "IncludeEventData": "true", "Query": "", "CustomFilters": "ExcludeOwnSecurityEvents" }
Todas las declaraciones WindowsEventLogPollingSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"WindowsEventLogPollingSource"
(obligatorio). LogName
-
Especifica el registro. Las opciones válidas son
Application
,Security
,System
, u otros registros válidos. IncludeEventData
-
Opcional. Cuando
true
, especifica que EventData adicional cuando se transmite como JSON y XML se incluye. El valor predeterminado esfalse
. Query
Opcional. Los registros de eventos de Windows admiten la consulta de eventos mediante expresiones XPath, que puede especificar mediante
Query
. Para obtener más información, consulteConsultas de eventos y XML de eventosen la documentación de Microsoft. CustomFilters
-
Opcional. Una lista de filtros separados por un punto y coma (
;
). Se pueden especificar los siguientes filtros.ExcludeOwnSecurityEvents
Excluye los eventos de seguridad generados por Kinesis Agent para Windows.
Configuración de WindowsETWEventSource
El tipo WindowsETWEventSource
se utiliza para recopilar rastros de eventos de servicios y aplicaciones con una característica llamada Seguimiento de eventos para Windows (ETW). Para obtener más información, consulte Event Tracing
A continuación, se muestra una declaración WindowsETWEventSource
de ejemplo:
{ "Id": "ClrETWEventSource", "SourceType": "WindowsETWEventSource", "ProviderName": "Microsoft-Windows-DotNETRuntime", "TraceLevel": "Verbose", "MatchAnyKeyword": 32768 }
Todas las declaraciones WindowsETWEventSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"WindowsETWEventSource"
(obligatorio). ProviderName
-
Especifica qué proveedor de eventos se va a utilizar para recopilar los eventos de rastreo. Debe ser un nombre de ETW válido asignado a un proveedor instalado. Para determinar qué proveedores están instalados, ejecute lo siguiente en una ventana del símbolo del sistema de Windows:
logman query providers
TraceLevel
-
Especifica qué categorías de los eventos de rastreo deben recopilarse. Los valores permitidos son
Critical
,Error
,Warning
,Informational
yVerbose
. El significado exacto depende del proveedor de ETW seleccionado. MatchAnyKeyword
-
Este valor es un número de 64 bits, donde cada bit representa una palabra clave individual. Cada palabra clave describe una categoría de eventos que se va a recopilar. Para obtener información sobre las palabras clave admitidas, sus valores y cómo se relacionan con
TraceLevel
, consulte la documentación de ese proveedor. Por ejemplo, para obtener información sobre el proveedor ETW de CLR Palabras clave y niveles ETW de CLRen la documentación de Microsoft .NET Framework. En el ejemplo anterior, 32768 (0x00008000) representa la
ExceptionKeyword
del proveedor ETW de CLR que indica al proveedor que recopile información sobre las excepciones generadas. Aunque JSON no admite de forma nativa constantes hexadecimales, puede especificarlas paraMatchAnyKeyword
incluyéndolas en una cadena. También puede especificar varias constantes separadas por comas. Por ejemplo, utilice lo siguiente para especificarExceptionKeyword
ySecurityKeyword
(0x00000400):{ "Id": "MyClrETWEventSource", "SourceType": "WindowsETWEventSource", "ProviderName": "Microsoft-Windows-DotNETRuntime", "TraceLevel": "Verbose", "MatchAnyKeyword": "0x00008000, 0x00000400" }
Para asegurarse de que todas las palabras clave especificadas pueden utilizarse con un proveedor, se combinan varios valores de las palabras clave con OR y se pasan a ese proveedor.
La salida de WindowsETWEventSource
contiene la siguiente información sobre cada evento:
Atributo | Tipo | Descripción |
---|---|---|
EventName |
Cadena | Tipo de evento que se produjo. |
ProviderName |
Cadena | Proveedor que detectó el evento. |
FormattedMessage |
Cadena | Resumen del evento en formato de texto. |
ProcessID |
Int | Proceso que registró el evento. |
ExecutingThreadID |
Int | Subproceso que registró el evento. |
MachineName |
Cadena | Nombre del equipo de escritorio o del servidor que registra el evento. |
Payload |
Tabla hash | Tabla con una clave de cadena y cualquier tipo de objeto como valor. La clave es el nombre del elemento de carga, mientras que el valor es el valor del elemento de carga. La carga depende del proveedor. |
A continuación, se muestra un ejemplo de un evento convertido a formato JSON:
{ "EventName": "Exception/Start", "ProviderName": "Microsoft-Windows-DotNETRuntime", "FormattedMessage": "ExceptionType=System.Exception;\r\nExceptionMessage=Intentionally unhandled exception.;\r\nExceptionEIP=0x2ab0499;\r\nExceptionHRESULT=-2,146,233,088;\r\nExceptionFlags=CLSCompliant;\r\nClrInstanceID=9 ", "ProcessID": 3328, "ExecutingThreadID": 6172, "MachineName": "MyHost.MyCompany.com", "Payload": { "ExceptionType": "System.Exception", "ExceptionMessage": "Intentionally unhandled exception.", "ExceptionEIP": 44762265, "ExceptionHRESULT": -2146233088, "ExceptionFlags": 16, "ClrInstanceID": 9 } }
Configuración de WindowsPerformanceCounterSource
El tipo WindowsPerformanceCounterSource
recopila métricas de contadores de rendimiento de Windows. A continuación, se muestra una declaración WindowsPerformanceCounterSource
de ejemplo:
{ "Id": "MyPerformanceCounter", "SourceType": "WindowsPerformanceCounterSource", "Categories": [{ "Category": "Server", "Counters": ["Files Open", "Logon Total", "Logon/sec", "Pool Nonpaged Bytes"] }, { "Category": "System", "Counters": ["Processes", "Processor Queue Length", "System Up Time"] }, { "Category": "LogicalDisk", "Instances": "*", "Counters": [ "% Free Space", "Avg. Disk Queue Length", { "Counter": "Disk Reads/sec", "Unit": "Count/Second" }, "Disk Writes/sec" ] }, { "Category": "Network Adapter", "Instances": "^Local Area Connection\* \d$", "Counters": ["Bytes Received/sec", "Bytes Sent/sec"] } ] }
Todas las declaraciones WindowsPerformanceCounterSource
pueden proporcionar los siguientes pares clave-valor:
SourceType
-
Tiene que ser la cadena literal
"WindowsPerformanceCounterSource"
(obligatorio). Categories
-
Especifica un conjunto de grupos de métricas de contadores de rendimiento que se van a recopilar en Windows. Cada grupo de métricas contiene los siguientes pares clave-valor:
Category
-
Especifica el conjunto de métricas de contadores que se van a recopilar (obligatorio).
Instances
-
Especifica el conjunto de objetos de interés cuando hay un único conjunto de contadores de rendimiento para cada objeto. Por ejemplo, cuando la categoría es
LogicalDisk
, hay un conjunto de contadores de rendimiento para cada unidad de disco. Este par clave-valor es opcional. Puede utilizar los caracteres comodín*
y?
para encontrar coincidencias con varias instancias. Para sumar valores de todas las instancias, especifique_Total
.También puede utilizar
InstanceRegex
, que acepta expresiones regulares que contienen el*
carácter comodín como parte del nombre de la instancia. Counters
-
Especifica qué métricas de la categoría especificada se van a recopilar. Este par clave-valor es obligatorio. Puede utilizar los caracteres comodín
*
y?
para encontrar varios contadores. Puede especificarCounters
utilizando el nombre y la unidad o solamente el nombre. Si no se especifican las unidades del contador, el agente de Kinesis para Windows intentará deducirlas a partir del nombre. Si esta deducción no es correcta, es posible especificar la unidad de forma explícita. Si lo desea, puede cambiar los nombres deCounter
. Existe una representación más compleja de un contador, que sería un objeto con los siguientes pares clave-valor:Counter
-
Nombre del contador. Este par clave-valor es obligatorio.
Rename
-
Nombre del contador que se va a presentar al receptor. Este par clave-valor es opcional.
Unit
-
Significado del valor asociado al contador. Para obtener una lista completa de los nombres de unidades válidos, consulte la documentación sobre unidades enMetricDatumen laReferencia del API de Amazon CloudWatch.
A continuación, se muestra un ejemplo de una especificación de contadores compleja.
{ "Counter": "Disk Reads/sec, "Rename": "Disk Reads per second", "Unit": "Count/Second" }
WindowsPerformanceCounterSource
Solo se puede utilizar con una canalización que especifique un receptor de Amazon CloudWatch. Utilice un receptor diferente si las métricas integradas en Kinesis Agent para Windows también se transmiten a CloudWatch. Examine el registro de Kinesis Agent para Windows después de iniciar un servicio para determinar qué unidades se dedujo que usaban los contadores si no se especificó ninguna unidad en el cuadro deWindowsPerformanceCounterSource
Declaraciones. Utilice PowerShell para determinar los nombres válidos de las categorías, las instancias y los contadores.
Para obtener información sobre todas las categorías, incluidos los contadores asociados a conjuntos de contadores, ejecute este comando en una ventana de PowerShell:
Get-Counter -ListSet * | Sort-Object
Para determinar qué instancias están disponibles en cada uno de los contadores del conjunto de contadores, ejecute un comando similar al del siguiente ejemplo en una ventana de PowerShell:
Get-Counter -Counter "\Process(*)\% Processor Time"
El valor del parámetro Counter
debe ser una de las rutas de un miembro PathsWithInstances
mostrado en la anterior invocación del comando Get-Counter -ListSet
.
Origen de métricas integrado en Windows en
Además de las fuentes de métricas ordinarias como elWindowsPerformanceCounterSource
tipo (consulteConfiguración de WindowsPerformanceCounterSource), el tipo de receptor de CloudWatch puede recibir métricas de un origen especial que recopile métricas sobre el propio agente de Kinesis para Windows. Las métricas de Kinesis Agent para Windows también están disponibles en laKinesisTap
de los contadores de rendimiento de Windows.
LaMetricsFilter
El par clave-valor de las declaraciones de receptores de CloudWatch especifica qué métricas se transmiten a CloudWatch desde el origen de métricas de integrado en Kinesis Agent para Windows. El valor es una cadena que contiene una o varias expresiones de filtro separadas por punto y coma; por ejemplo:
"MetricsFilter": "
ExpresiónDeFiltro1;
ExpresiónDeFiltro2"
Una métrica que coincide con una o varias expresiones de filtro se transmite a CloudWatch.
Las métricas de instancias únicas son de carácter global y no están vinculadas a un determinado origen o receptor. Las métricas de instancias múltiples son dimensionales y dependen de la declaración Id
del origen o receptor. Cada tipo de origen o receptor puede tener un conjunto diferente de métricas.
Para obtener una lista de los nombres de métrica del agente de Kinesis para Windows, consulteLista de métricas del agente Kinesis para Windows.
En las métricas de instancias únicas, la expresión de filtro es el nombre de la métricas; por ejemplo:
"MetricsFilter": "SourcesFailedToStart;SinksFailedToStart"
En el caso de las métricas de instancias múltiples, la expresión de filtro es el nombre de la métrica, un punto (.
) y el Id
de la declaración del origen o receptor que generó esa métrica. Por ejemplo, supongamos que hay una declaración de un receptor cuyo Id
es MyFirehose
:
"MetricsFilter": "KinesisFirehoseRecordsFailedNonrecoverable.MyFirehose"
Puede utilizar patrones de caracteres comodín especiales diseñados para distinguir entre las métricas de instancias únicas y las métricas de instancias múltiples.
-
El asterisco (
*
) busca coincidencias con cero o más caracteres, salvo el punto (.
). -
El signo de interrogación de cierre (
?
) busca coincidencias con un único carácter, salvo el punto. -
Cualquier otro carácter solamente coincide consigo mismo.
-
_Total
es un token especial que genera la suma de todos los valores de las instancias múltiples coincidentes que hay en la dimensión.
En el siguiente ejemplo, se buscan coincidencias con todas las métricas de instancias únicas:
"MetricsFilter": "*"
Como los asteriscos no buscan coincidencias con el carácter de punto, solo se incluyen las métricas de instancias únicas.
En el siguiente ejemplo, se buscan coincidencias con todas las métricas de instancias múltiples:
"MetricsFilter": "*.*"
En el siguiente ejemplo, se buscan coincidencias con todas las métricas (únicas y múltiples):
"MetricsFilter": "*;*.*"
En el siguiente ejemplo, se suman todas las métricas de instancias múltiples de todos los orígenes y receptores:
"MetricsFilter": "*._Total"
En el siguiente ejemplo, se suman todas las métricas de Kinesis Data Firehose de Kinesis para todos los receptores de Firehose de datos de Kinesis:
"MetricsFilter": "*Firehose*._Total"
En el siguiente ejemplo, se buscan coincidencias con todas las métricas con error de las instancias únicas y múltiples:
"MetricsFilter": "*Failed*;*Error*.*;*Failed*.*"
En el siguiente ejemplo, se buscan coincidencias con todas las métricas con error no recuperables que se han sumado en todos los orígenes y receptores:
"MetricsFilter": "*Nonrecoverable*._Total"
Para obtener información acerca de cómo especificar una canalización que utilice el origen de métricas integrado en Kinesis Agent para Windows, consulteConfiguración del agente Kinesis para tuberías métricas de Windows.
Lista de métricas del agente Kinesis para Windows
A continuación, se muestra una lista con las métricas de instancias únicas y múltiples que están disponibles para Kinesis Agent para Windows.
Métricas de instancias únicas
Las siguientes métricas de instancias únicas están disponibles:
KinesisTapBuildNumber
-
El número de versión de Kinesis Agent para Windows.
PipesConnected
-
Número de canalizaciones que han conectado correctamente el origen con el receptor.
PipesFailedToConnect
-
Número de canalizaciones que no han conectado correctamente el origen con el receptor.
SinkFactoriesFailedToLoad
-
Número de tipos de receptores que no se cargaron correctamente en el agente de Kinesis para Windows.
SinkFactoriesLoaded
-
Número de tipos de receptores que se cargaron correctamente en el agente de Kinesis para Windows.
SinksFailedToStart
-
Número de receptores que no se iniciaron correctamente; por lo general, debido a una declaración incorrecta del receptor.
SinksStarted
-
Número de receptores que se iniciaron correctamente.
SourcesFailedToStart
-
Número de orígenes que no se iniciaron correctamente; por lo general, debido a una declaración incorrecta del origen.
SourcesStarted
-
Número de orígenes que se iniciaron correctamente.
SourceFactoriesFailedToLoad
-
Número de tipos de orígenes que no se cargaron correctamente en el agente de Kinesis para Windows.
SourceFactoriesLoaded
-
Número de tipos de orígenes que se cargaron correctamente en el agente de Kinesis para Windows.
Métricas de instancias múltiples
Las siguientes métricas de instancias múltiples están disponibles:
Métricas de DirectorySource
DirectorySourceBytesRead
-
Número de bytes leídos durante el intervalo de este
DirectorySource
. DirectorySourceBytesToRead
-
Número conocido de bytes disponibles para leer que aún no ha leído Kinesis Agent para Windows.
DirectorySourceFilesToProcess
-
Número de archivos conocidos que debe examinarse y que aún no ha examinado el agente de Kinesis para Windows.
DirectorySourceRecordsRead
-
Número de registros que se han leído durante el intervalo de este
DirectorySource
.
Métricas de WindowsEventLogSource
EventLogSourceEventsError
-
Número de eventos de un registro de eventos de Windows que no se han leído correctamente.
EventLogSourceEventsRead
-
Número de eventos de un registro de eventos de Windows que se han leído correctamente.
Métricas de receptores de KinesisFirehose
KinesisFirehoseBytesAccepted
-
Número de bytes aceptados durante el intervalo.
KinesisFirehoseClientLatency
-
Tiempo transcurrido entre la generación del registro y su transmisión al servicio de Kinesis Data Firehose.
KinesisFirehoseLatency
-
Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de Kinesis Data Firehose.
KinesisFirehoseNonrecoverableServiceErrors
-
Número de veces que los registros no pudieron enviarse sin error al servicio de Kinesis Data Firehose a pesar de que volviera a intentarse.
KinesisFirehoseRecordsAttempted
-
Número de registros que han intentado transmitirse al servicio de Kinesis Data Firehose.
KinesisFirehoseRecordsFailedNonrecoverable
-
Número de registros que no pudieron transmitirse correctamente al servicio de Kinesis Data Firehose a pesar de que volviera a intentarse.
KinesisFirehoseRecordsFailedRecoverable
-
Número de registros que se transmitieron correctamente al servicio de Kinesis Data Firehose, pero solo cuando se necesitaron varios intentos.
KinesisFirehoseRecordsSuccess
-
Número de registros que se transmitieron correctamente al servicio de Kinesis Data Firehose sin que fueran necesarios varios intentos.
KinesisFirehoseRecoverableServiceErrors
-
Número de veces que los registros pudieron enviarse correctamente al servicio de Kinesis Data Firehose, pero solo cuando se necesitaron varios intentos.
Métricas de KinesisStream
KinesisStreamBytesAccepted
-
Número de bytes aceptados durante el intervalo.
KinesisStreamClientLatency
-
Tiempo transcurrido entre la generación del registro y su transmisión al servicio de Kinesis Data Streams.
KinesisStreamLatency
-
Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de Kinesis Data Streams.
KinesisStreamNonrecoverableServiceErrors
-
Número de veces que los registros no pudieron enviarse sin error al servicio de Kinesis Data Streams a pesar de que volviera a intentarse.
KinesisStreamRecordsAttempted
-
Número de registros que han intentado transmitirse al servicio de Kinesis Data Streams.
KinesisStreamRecordsFailedNonrecoverable
-
Número de registros que no pudieron transmitirse correctamente al servicio de secuencias de Kinesis Data Streams a pesar de que volviera a intentarse.
KinesisStreamRecordsFailedRecoverable
-
Número de registros que se transmitieron correctamente al servicio de Kinesis Data Streams, pero solo cuando se necesitaron varios intentos.
KinesisStreamRecordsSuccess
-
Número de registros que se transmitieron correctamente al servicio de secuencias de Kinesis Data Streams sin que fueran necesarios varios intentos.
KinesisStreamRecoverableServiceErrors
-
Número de veces que los registros pudieron enviarse correctamente al servicio de Kinesis Data Streams, pero solo cuando se necesitaron varios intentos.
Métricas de CloudWatchLog
CloudWatchLogBytesAccepted
-
Número de bytes aceptados durante el intervalo.
CloudWatchLogClientLatency
-
Tiempo transcurrido entre la generación del registro y su transmisión al servicio de registros de CloudWatch Logs.
CloudWatchLogLatency
-
Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de CloudWatch Logs.
CloudWatchLogNonrecoverableServiceErrors
-
Número de veces que los registros no pudieron enviarse sin error al servicio de registros de CloudWatch a pesar de que volviera a intentarse.
CloudWatchLogRecordsAttempted
-
Número de registros que han intentado transmitirse al servicio de CloudWatch Logs.
CloudWatchLogRecordsFailedNonrecoverable
-
Número de registros que no pudieron transmitirse correctamente al servicio de registros de CloudWatch a pesar de que volviera a intentarse.
CloudWatchLogRecordsFailedRecoverable
-
Número de registros que se transmitieron correctamente al servicio de CloudWatch Logs, pero solo cuando se necesitaron varios intentos.
CloudWatchLogRecordsSuccess
-
Número de registros que se transmitieron correctamente al servicio de registros de CloudWatch sin que fueran necesarios varios intentos.
CloudWatchLogRecoverableServiceErrors
-
Número de veces que los registros pudieron enviarse correctamente al servicio de CloudWatch Logs, pero solo cuando se necesitaron varios intentos.
Métricas de CloudWatch
CloudWatchLatency
-
Tiempo transcurrido de media entre el inicio y el final de la transmisión de métricas en el servicio de CloudWatch.
CloudWatchNonrecoverableServiceErrors
-
Número de veces que las métricas no pudieron enviarse sin error al servicio de CloudWatch a pesar de que volviera a intentarse.
CloudWatchRecoverableServiceErrors
-
Número de veces que las métricas pudieron enviarse sin error al servicio de CloudWatch, pero solo cuando se necesitaron varios intentos.
CloudWatchServiceSuccess
-
Número de veces que las métricas pudieron enviarse sin error al servicio de CloudWatch sin que fueran necesarios varios intentos.
Configuración de Bookmark
De forma predeterminada, el agente de Kinesis para Windows envía registros a los receptores que se crearon después de iniciar el agente. A veces, resulta útil enviar registros anteriores; por ejemplo, registros que se crearon durante el periodo de tiempo que estuvo detenido por Kinesis Agent para Windows durante una actualización automática. La característica de marcador (bookmark) realiza un seguimiento de lo que los registros han enviado a los receptores. Cuando Kinesis Agent para Windows está en modo marcador y se inicia, envía todas las entradas de registro que se crearon tras la detención del agente de Kinesis para Windows, junto con las entradas que se crearon posteriormente. Para controlar este comportamiento, las declaraciones de origen basadas en archivos pueden incluir opcionalmente los siguientes pares clave-valor:
InitialPosition
-
Especifica la situación inicial del marcador (bookmark). Los valores posibles son los siguientes:
EOS
-
Especifica el final de la secuencia (EOS). Solo se envían a los receptores las entradas de registro que se crearon mientras el agente estaba en ejecución.
0
-
Todos los eventos y entradas de registro se envían desde el primer momento. A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark), tanto si estaba en ejecución como si no.
Bookmark
-
El marcador (bookmark) se ha inicializado justo después del último registro o evento. A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark), tanto si estaba en ejecución como si no.
De forma predeterminada, los marcadores están habilitadas. Los archivos se almacenan en la
%ProgramData%\Amazon\KinesisTap
. Timestamp
-
Se envían los registros y eventos creados después del valor
InitialPositionTimestamp
(cuya descripción se incluye a continuación). A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark) Kinesis tanto si estaba en ejecución como si no.
InitialPositionTimestamp
-
Especifica la marca temporal de la entrada de registro o el evento más antiguo que desea tener. Especifique este par clave-valor solamente cuando el valor de
InitialPosition
seaTimestamp
. BookmarkOnBufferFlush
-
Esta configuración se puede añadir a cualquier fuente que se pueda marcar. Cuando se establece en
true
, garantiza que las actualizaciones de marcadores solo se produzcan cuando un receptor envía correctamente un evento a AWS. Solo puede suscribir un único receptor a una fuente. Si envía registros a varios destinos, duplique sus fuentes para evitar posibles problemas con la pérdida de datos.
Cuando Kinesis Agent para Windows ha estado detenido durante un largo periodo de tiempo, puede ser necesario eliminar estos marcadores, ya que podría ocurrir que las entradas de registro y los eventos señalados con estos marcadores no existieran ya. Los archivos de marcadores (bookmark) de un determinado id de origen se encuentran en %PROGRAMDATA%\Amazon\AWSKinesisTap\source
id
..bm
Los marcadores (bookmarks) no funcionan en archivos truncados o cuyo nombre ha cambiado. Debido a su naturaleza, no se pueden utilizar marcadores (bookmarks) con los contadores de rendimiento y los contadores de los eventos de ETW.