メインコンテンツまでスキップ
Sumo Logic Japanese

はじめに: アナリストのためのチェックリスト

各リンクをクリックして各ヘルプ トピックに移動して詳細を確認し、このチェックリストに戻って続行します。

はじめに

このトピックでは、Sumo Logic アカウントに関する基本情報を紹介します。

  • Sumo Logic アカウント タイプ
    Sumo Logic 組織の機能セットは、Sumo Logic アカウントのタイプによって異なります。リストを確認し、アカウントが使用事例に適していることを確認してください。いつでもアップグレードできます。
  • 環境設定[1]ページ 
    パスワード、Web セッションのタイムアウト、デフォルトのタイム ゾーンの設定など、個人の Sumo Logic アカウントに関する環境設定を行います。
  • 「Sumo の使用」クイック スタート チュートリアル
    ここでは、Sumo Logic の使用の基礎を身につけるための一連のチュートリアルを紹介します。新規ユーザがこれらのチュートリアルをお読みになれば、製品の初心者から中級ユーザにステップアップできます。 

ログ データの検索

必要なログを収集するようにソースを設定したら、数分以内に検索の使用を開始できるようになります。Sumo Logic の検索構文では、おなじみの論理オペレータを使用しているため、アドホック クエリをすばやく効率的に作成できます。

  • 全般的な検索例のクイック ガイド
    検索クイック ガイドには、さまざまな使用事例に合った便利な検索クエリの例が記載されています。
  • 検索の基本
    このトピックでは、キーワード検索、および Sumo Logic の検索構文の基本について説明します。
  • [Messages (メッセージ)] タブからの検索の変更 
    検索を実行した後に、[Messages (メッセージ)] タブに表示されるテキストを選択して以降の検索を変更できます。テキストを選択した後に、ポップアップ メニューのオプションを使用して検索の変更方法を選択できます。
  • パース 
    Sumo Logic には、ログ メッセージでフィールドをパースする方法が多数用意されています。
  • 集計 
    集計関数は、メッセージを評価してグループに配置します。これにより、結果のカウントや順序付けができます。結果を集計したら、グラフを使用してデータを視覚化できます。
  • 検索オペレータ 
    このセクションでは、Sumo Logic オペレータ、式、検索言語の詳細な構文、ルール、例を紹介します。
  • 効率的な検索クエリの作成
    効率的な検索クエリを作成すれば、「ノイズ」を最小限に抑えて、的を絞った結果が最短時間で返されます。効率的に実行されるクエリを構造化するには、いくつか簡単な方法があります。より質の高い結果をより短時間で返すのです。より効率的な検索クエリを作成するには、次のヒントを参照してください。

高度な検索オペレータと機能

Sumo の検索クエリ言語には、高度な使用事例向けの検索オペレータが多数あります。いくつか重要なオペレータを紹介します。

  • 保存オペレータ
    保存オペレータにより、クエリの結果を Sumo Logic ファイル システムに保存できます。以降、ルックアップ オペレータを使用して保存済みデータにアクセスできます。保存オペレータは、データを選択した場所に単純な形式で保存します。
  • ルックアップ オペレータ 
    ルックアップ オペレータを使用すると、ログ メッセージのデータを意味のある情報にマッピングできます。たとえば、ルックアップ オペレータを使用して「userID」を実際のユーザ名にマッピングできます。または、ルックアップ オペレータを使用してブラックリストに登録された IP アドレスを見つけることもできます。
  • 結合オペレータ
    結合オペレータは、2 つ以上のデータ ストリームのレコードを結合します。結果はオンザフライで承認されるため、リアルタイムでテーブルを作成できます。その後、各テーブルに共通の値が検索結果として表示されます。Sumo Logic の結合オペレータの仕組みは、標準的な SQL の join とほとんど同じです。
  • トランザクション オペレータ
    トランザクション オペレータは、ログの関連するシーケンスを分析するために使用されます。たとえば小売りの Web サイトを運営しているとすると、トランザクション オペレータを使用して、ログイン、カート、支払い、チェックアウトなどのトランザクションの状態を判断するログ イベントによって顧客の移動をトラッキングすることもできます。結果から、顧客の移動やサイト内での「フロー」をフロー図として視覚化し、支払い状態でのドロップオフなど、購入の完了の妨げとなる問題を識別することができます。
  • 予測オペレータ
    予測オペレータは、タイムスタンプの付いた一連の数値を使用し、将来の値を予測します。たとえば、このオペレータを使用して現在のディスクの空き容量を取得し、システムのディスクがいっぱいになるタイミングを予測することもできます。
  • 外れ値オペレータ 
    タイムスタンプの付いた一連の数値があるとすると、クエリで外れ値オペレータを使用すれば、シーケンスの中で予想外と思われる値を識別でき、たとえばスケジュール済み検索のアラートや違反を識別できます。そのために、外れ値オペレータは値の移動平均および標準偏差をトラッキングし、値が平均より標準偏差の数倍、たとえば標準偏差 3 を超えたときに検出またはアラートします。
  • ジオ ルックアップ オペレータ (地図)
    Sumo Logic は、抽出済みの IP アドレスを地図上の地理的位置と照合できます。地図を作成するために、ログ ファイルから IP アドレスをパースした後で、ルックアップ オペレータが抽出済みの IP アドレスをアドレスの元となった物理的な位置と照合します。最後に、geolocation フィールドが Google Maps API によって使用され、IP が地図に追加されます。latitude フィールドと longitude フィールドは必須であり、省略可能なフィールドとしては country_code、country_name、region、city、state、postal_code、connection_type、country_cf、state_cf、city_cf があります。これらのデータ フィールドの詳細は、「GeoPoint データ グロッサリ」トピックの「Neustar のドキュメント」を参照してください。出力をどこまで具体的にするかに応じて、省略可能なすべてのフィールドを含めることも、サブセットを選択することもできます。
  • サブクエリ
    サブクエリにより、正確なフィルタ条件は不明だが短いクエリを作成してフィルタ条件を設定することはできる場合にクエリを絞り込むことができます。サブクエリは 1 つのクエリを使用して結果を別のクエリに戻し、そのクエリで検索されたメッセージのセットを絞り込みます。 

グラフとダッシュボードによるログ データの視覚化

検索クエリを作成したら、グラフを使用してデータを視覚化できます。こうしたグラフをパネルに変換し、ダッシュボードに追加して、ライブラリで組織と共有できます。

  • グラフ パネル タイプ 
    [Aggregates (集計)] タブに結果を出力する検索クエリは、別のタイプのグラフとしてグラフィカルに表現できます。その後、これらのグラフをパネルとしてダッシュボードに保存できます。Sumo Logic は棒グラフ、並列棒グラフ、折れ線グラフ、面グラフ、円グラフ、箱ひげ図、地図グラフ、単一値グラフ、複合グラフなどのグラフをサポートしています。
  • ダッシュボード
    ダッシュボードには、組織のデータをグラフの形式でグラフィカルに表現するデータ パネルのコレクションと、ダッシュボードのデータにコンテキストを追加できるテキストとタイトル パネルが含まれています。ダッシュボードに保存した情報から、Sumo Logic にアップロードしているデータの現在の状態がわかります。多数のクエリを実行する代わりに、Sumo Logic はこうした検索を自動的に実行し、データの陳腐化を防いでいます。
  • ライブラリの使用
    ライブラリは、Sumo Logic アカウントの共有および保存済みコンテンツ、さらに組織内の他のユーザが共有するコンテンツの中心です。すべての Sumo Logic アプリケーションをライブラリから使用できます。
  • ライブラリからのダッシュボードの共有 
    ライブラリからのダッシュボードの公開は、組織にとって重要なデータを全員が把握するのに適した方法です。
  • ダッシュボードの共有 
    ダッシュボードを共有または公開すると、デフォルトでは、ダッシュボードの作成者に表示されるのとまったく同じビューがユーザに表示されます。  ダッシュボードを表示するユーザが所有者と異なる RBAC 権限を持っている場合、ユーザはダッシュボードを表示するときに一時的に所有者の RBAC 権限を引き継ぎます。

モニタリング

  • 検索の保存
    フォレンジック調査中にアドホック検索を実行している場合でも、ヘルス チェックのための標準的な検索を実行している場合でも、後で実行するために検索を保存できます。
  • 検索のスケジュール
    検索を保存する場合、定期的に実行し、検索結果をメールで自動的に通知するように保存済み検索をセットアップすることもできます。保存済み検索はいつでも編集できます。
  • スケジュール済み検索からのメール アラートの受信
    スケジュール済み検索の結果をメールで受信する方法として、スケジュール済みメール、アラート メール、リアルタイム アラートの 3 つの方法があります。 

メトリクスの操作

Sumo は、Carbon 2.0、Prometheus、Graphite などの複数のメトリクス形式をサポートしています。Sumo のメトリクスについては、「Sumo のメトリクスの概要」を参照してください。アナリスト向けのメトリクス関連の機能には次のようなものがあります。

Sumo Logic アプリケーション

Sumo Logic アプリケーションには、そのまま使用できるダッシュボード、レポート、保存済み検索。および一般的なデータ ソース向けのフィールド抽出が用意されています。Sumo Logic アプリケーションをインストールすると、こうした事前設定済みの検索およびダッシュボードがソース設定に応じてカスタマイズされ、自分で選択したライブラリのフォルダにデータが入力されます。

  • Sumo Logic アプリケーションからの検索の実行
    Sumo Logic アプリケーションには、一般的なデータ ソース向けの事前構築済み保存済み検索が多数用意されています。これらの検索は、アプリケーション自体をインストールしなくてもデータに対して実行できます。そのため、インストールするかどうか決断する前に、アプリケーション内でデータに対する検索を試してみることができます。または、検索を表示して、クエリ例の品質を確認することができます。
  • Sumo Logic アプリケーションのインストール 
    Sumo Logic アプリケーションはライブラリにあります。一般的なデータ ソースの膨大なリストの中から選択し、ライブラリから直接インストールできます。一部のアプリケーションでは、個別のインストール要件が設定されています。必ずアプリケーションのヘルプ トピックで個別の手順を確認してください。
  • ログ分析クイックスタート アプリケーション
    特に Sumo Logic の新規ユーザ向けに作成されたログ分析クイックスタート アプリケーションには、どこで生成されたかに関係なく、ログ ファイルから重要情報を抽出するための検索が含まれています。ログ管理が初めての場合でも他の製品からの移行をお考えの場合でも、ログ分析クイックスタート アプリケーションにより、速やかに Sumo Logic の検索、視覚化、アナリティクス機能を使用できます。
  • データ ボリューム アプリケーション
    データ ボリュームに関する Sumo Logic アプリケーションを使用すれば、カテゴリ別、コレクタ別、ソース名別、ホスト別にアカウントのデータ使用ボリュームを一目で把握できます。このアプリケーションでは、全体的な使用をリアルタイムで分析するために事前定義済みの検索とダッシュボードを使用して環境を視覚化します。

 

  • この記事は役に立ちましたか?