新版日志聚类引擎在多个维度上进行了重大改进。最核心的改进是零额外索引流量:旧版需要在写入时预计算聚类结果并建立索引,产生额外的存储和计算成本;新版采用查询时聚类(query-time clustering),直接在查询阶段对原始日志进行实时模式分析,不需要任何预处理。第二个改进是支持SPL管道式操作,用户可以通过get_log_patterns、match_log_patterns和merge_log_patterns三个算子灵活组合,实现复杂的聚类分析流程。第三,新版引擎的变量识别能力更强,能够准确区分数字变量、枚举变量和复合变量。第四,新增了时间段对比分析能力,可以对比不同时间窗口的日志模式差异,快速发现新增或消失的异常模式。第五,支持正则反查功能,从聚类结果可以一键跳转到匹配该模式的原始日志。
加载中...