1、第一种方式，直接指定日志文件的完整路径

日志文件可以是任意类型的文件，不一定是*.log，如：/usr/local/nginx/logs/access.log

提示：监控的日志文件大小尽量不要超过200MB，不然可能会对agent性能有影响

2、第二种方式，指定应用输出日志文件的目录

比如我们要监控/server/log/下的日志文件，它是按天自动生成的，在页面输入【日志文件或文件夹完整路径】为/server/log

agent每次会扫描/server/log目录下时间戳最新的*.log文件，也可以支持.out和.txt类型的日志文件

wgcloud.2021-12-09.0.log
wgcloud.2021-12-08.0.log
wgcloud.2021-12-07.0.log

(1) WGCLOUD也支持在日志目录下扫描指定应用或来源输出的日志文件，通过配置【日志文件名称需包含的关键字】即可

比如/usr/log/下有日志文件，它是按天自动生成的：

wgcloud.2021-12-09.0.log
wgcloud.2021-12-08.0.log
wgcloud.2021-12-07.0.log
redis.2021-12-09.0.log

我们只想监控/usr/log/下wgcloud生成的日志文件，那么就配置【日志文件名称需包含的关键字】为wgcloud即可，即用文件名里的关键字来区分

(2) 如果监控日志目录下都是同一个应用输出的log文件，就不用配置【日志文件名称需包含的关键字】这个字段

(3) 如果监控日志路径中包含的文件夹有动态日期，注意是文件夹是动态日期，不是文件是动态日期，比如/usr/log/20240520/这样的路径

/usr/log/20240520/wgcloud.log
/usr/log/20240521/wgcloud.log
/usr/log/20240522/wgcloud.log

其中20240520可以用{yyyyMMdd}来代替，系统会自动替换为当前日期，也可以用{yyyy-MM-dd}来代替2024-05-20

3、其他说明

agent默认每间隔10分钟扫描一次日志文件，可以在agent/config/application.properties配置修改此时间，建议默认或大于10分钟

日志文件默认10分钟检测一次，比如监控日志文件：/home/test.log

第1次扫描：第1行-文件结束

第2次扫描：上次扫描结束行数-文件结束

第3次扫描：上次扫描结束行数-文件结束

如果日志文件被删减过，体积变小，那么系统会重新从日志文件的第一行开始扫描

4、日志文件监控支持批量添加

适合多个主机有同样的日志文件或目录需要监测

5、日志文件监控，每次会提取显示包含设置告警关键字的整行日志内容，并会显示行数

6、在v3.5.6版本开始，日志文件监控，可以支持输入自动处理指令

当agent发现日志文件中出现设置的告警关键字后，会立即执行设置的自动处理指令，这个处理指令也可以填写脚本完整路径（agent主机的脚本路径），如下图

7、日志文件监控视频讲解

8、这是一个示例说明，用于Linux系统的入侵行为日志检测分析