はじめに: 管理者のためのチェックリスト
各リンクをクリックして各ヘルプ トピックに移動して詳細を確認し、このチェックリストに戻って続行します。
はじめに
このトピックでは、Sumo Logic アカウントに関する基本情報と、使用事例に合わせて Sumo Logic の実装をデザインする方法を紹介します。
- Sumo Logic アカウント タイプ
Sumo Logic 組織の機能セットは、Sumo Logic アカウントのタイプによって異なります。リストを確認し、アカウントが使用事例に適していることを確認してください。いつでもアップグレードできます。 - Sumo Logic コンポーネント
Sumo Logic は、Collector、Source、Sumo Logic クラウド、Sumo Logic Web アプリケーションといった少数のコンポーネントで構成されます。これらのコンポーネントの連携については、こちらをご覧ください。 - デプロイのデザイン
使用事例に応じて、Installed Collector と Hosted Collector のどちらかを使用する必要がある場合があります。このトピックは、組織にとって必要なコンポーネントか判断するのに役立ちます。 - ベスト プラクティス: ローカルおよび集中型のデータ収集
自分にとって適した方法は? - システム要件
このトピックには、Sumo Logic Collector の基本的なハードウェア要件、パフォーマンスを最大化するためにサポートされる Web ブラウザ、サポートされるログ エンコーディングに関する情報が含まれます。 - 環境設定ページ
パスワード、Web セッションのタイムアウト、デフォルトのタイム ゾーンの設定など、個人の Sumo Logic アカウントに関する環境設定を行います。
ログおよびメトリクスの収集
Sumo Logic にデータを送信するには、Collector と Source の設定方法を理解する必要があります。
- メタデータの命名規則
Collector を設定する前に、Source、Collector、さらに特にメタデータ タグの命名規則を決めておくとよいでしょう。 - Installed Collector と Hosted Collector の比較
Sumo Logic にデータを送信する前に、Installed Collector と Hosted Collector のどちらのタイプの Collector が使用事例に適しているかを判断する必要があります。 - Installed Collector
Installed Collector は、ローカル マシン、組織内のマシン、または Amazon マシン イメージ (AMI) のいずれかで環境内にデプロイされます。Installed Collector を使用する場合、ソフトウェアをダウンロードしてインストールする必要があります。Collector ソフトウェアへのアップグレードは、定期的に Sumo Logic からリリースされます。 - Hosted Collector
Hosted Collector を使用する場合、インストールやアクティブ化が不要なだけでなく、AWS または HTTP でホストされるため、物理要件もありません。 - Source
Source とは、Sumo Logic Collector が顧客のサイトからデータを収集するために接続する環境です。- Installed Collector の Source
Installed Collector の Source には、ローカルおよびリモートのファイル Source、ローカルおよびリモートの Windows イベント Source、ローカルおよびリモートの Windows パフォーマンス Source、スクリプト Source、Syslog Source、スクリプト アクションなどがあります。 - Hosted Collector の Source
Hosted Collector の Source には、HTTP Source の他、AWS CloudTrail、AWS Config、AWS ELB、Amazon CloudFront、Amazon S3 Audit、Amazon S3 などの AWS Source タイプがあります。
- Installed Collector の Source
- タイムスタンプ、タイム ゾーン、時間範囲、および日付フォーマット
Sumo Logic は、タイムスタンプ、タイム ゾーン、時間範囲、日付について複数のオプションをサポートしています。 - JSON を使用した Source の設定
JSON ファイルを使用して Source を設定することもできます。
コレクションおよびデータ ボリュームの管理
Sumo には、コレクションおよびデータ ボリュームをトラッキングして管理するためのツールが用意されています。
- ログ取り込み Data Volume Index
Sumo はアカウントが取り込んでいるログ データ量に関するメッセージをインデックスに書き込みます。インデックスを照会することも、必要に応じて Sumo Logic データ ボリューム アプリケーションをインストールすることもできます。このアプリケーションには、ログ取り込みを分析するための事前設定済みの検索とダッシュボードがあります。 - メトリクス取り込み Data Volume Index
メトリクス Data Volume Index には、5 分ごとに一連のインデックス メッセージが入力されます。このメッセージには、アカウントが取り込んでいるメトリクスの量 (データ ポイント別) に関する情報が含まれます。
検索
必要なログを収集するように Source を設定したら、数分以内に検索の使用を開始できるようになります。Sumo Logic の検索構文では、親しみやすい論理 operator が採用されているため、アドホック クエリをすばやく効率的に作成できます。
- 全般的な検索例のクイック ガイド
検索クイック ガイドには、さまざまな使用事例に合った便利な検索クエリの例が記載されています。 - 検索の基本
このトピックでは、キーワード検索、および Sumo Logic の検索構文の基本について説明します。 - [Messages (メッセージ)] タブからの検索の変更
検索を実行した後に、[Messages (メッセージ)] タブに表示されるテキストを選択して以降の検索を変更できます。テキストを選択した後に、ポップアップ メニューのオプションを使用して検索の変更方法を選択できます。 - parse
Sumo Logic には、ログ メッセージのフィールドを parse する方法が多数用意されています。 - 集計
集計関数は、メッセージを評価してグループに配置します。これにより、結果のカウントや順序付けができます。結果を集計したら、グラフを使用してデータを視覚化できます。 - search operator
このセクションでは、Sumo Logic operator、式、検索言語の詳細な構文、ルール、例を紹介します。
検索最適化ツール
検索最適化ツールは検索プロセスを高速化し、クエリ結果を短時間で表示すると同時に、フォレンジック分析およびログ管理の生産性を高めます。検索速度は通常、データ量およびデータに対して実行するクエリのタイプによって変わります。検索最適化ツールはデータをセグメント化し、キューに登録してすばやく結果を表示できるようにします。
- 検索パフォーマンスの最適化
検索最適化のインデックスベースおよびフィールドベースの方法、検索最適化プロセス、ジョブ合ったツールの選択方法を説明します。 - Partitions (パーティション)
パーティションは、インデックス内のログ メッセージのサブセットを絞り込めるようにして検索プロセスを高速化します。 - Scheduled View
Scheduled View は、事前収集済みインデックスとして機能し、データの小規模な履歴サブセットの検索プロセスを高速化します。 - フィールド抽出
フィールド抽出は、ログ メッセージが取り込まれた時点でフィールドを解析して検索プロセスを高速化します。parse は自動的に実行されるため、フィールドを parse するためにクエリを実行する必要はありません。 - フィールド ブラウザ
フィールド ブラウザでは、選択したフィールドを parse することなく表示または非表示にできるため、関心のあるフィールドのみに検索の焦点を絞ることができます。関心のあるフィールドに焦点を絞ることで、表示したくないフィールドの「ノイズ」に悩まされることがなくなります。 - 検索テンプレート
検索テンプレートを設定して、ユーザ向けに検索を単純にできます。検索テンプレートにより、ユーザは検索構文に煩わされることなく、選択リストから検索パラメータ値を選択できます。
ユーザ、ロール、セキュリティ
Sumo には、ユーザの Sumo へのアクセスを管理し、セキュリティ ポリシーを設定するためのツールが多数用意されています。次のことができます。
- パスワード ポリシーの設定
パスワードの失効、再利用、ロックに関するルールを設定します。 - IP または CIDR アドレスのホワイトリストの作成
サービス ホワイトリスト設定により、特定の IP アドレスや、ログイン、API、ダッシュボード アクセスの CIDR 表記法へのアクセス権を明示的に付与できます。 - アクセス キーの管理
Sumo でのアクセス キーは、新しい Collector を安全に登録し、Sumo API にアクセスするために使用されます。 - Sumo Audit Index
Audit Index を有効にすると、Sumo はアカウント管理、ユーザ アクティビティ、Scheduled Search などに関連した内部イベントに関する情報を取得します。 - アカウント アクセスのサポート
Sumo Logic サポート アカウントを有効にできます。このアカウントは、Sumo Logic のサポート担当者に組織のアカウントへのアクセス権を付与するものであり、発生した問題をこうした担当者が解決できるようにします。管理者はサポート アカウントを常に有効にすることも、問題を調査しないときはアカウントを無効にすることもできます。 - シングル サインオンのための SAML のセットアップ
Enterprise アカウントでは、Security Assertion Markup Language (SAML) 2.0 をプロビジョニングして Sumo Logic へのユーザ アクセスのためにシングル サインオン (SSO) を有効にできます。基本的な SAML 機能に加えて、省略可能なオンデマンド ユーザ作成 (SAML 2.0 アサーションを使用) を選択し、カスタム ログインおよびログアウト ポータルを指定できます。 - ロールベース アクセス制御 (RBAC)。Sumo Logic は RBAC をサポートしています。ユーザに権限を直接割り当てられることはありませんが、複数のロール (または 1 つのロール) から権限を継承します。ロールの割り当てにより、ユーザに特定の権限が付与され、ユーザが表示できるデータが決まります。
メトリクス
Sumo は、Carbon 2.0、Prometheus、Graphite などの複数のメトリクス形式をサポートしています。Sumo のメトリクスについては、「Sumo のメトリクスの概要」を参照してください。管理者向けのメトリクス関連の機能には次のようなものがあります。
- メトリクス ルール エディタ
メトリクス識別子に由来するデータをメトリクスにタグ付けするために使用できるインターフェイス。その後、ユーザはメトリクス クエリでこれらのタグを使用できます。 - ログからメトリクス
Sumo のログからメトリクス機能により、ログ データからメトリクスを抽出または作成できます。- ログに埋め込まれたメトリクスを抽出できます。たとえば、ログに待機時間、送信されたバイト数、リクエスト時間などの数値が含まれている場合があります。1 つのログから複数のメトリクスを抽出できます。
- ログをメトリクスとしてカウントできます。たとえば、404 ステータス コードが含まれるログ メッセージの数をカウントすることもできます。
API
Enterprise アカウントをお持ちのお客様向けに、Sumo Logic ではサードパーティ スクリプトおよびアプリケーションを操作するためのさまざまな API を用意しています。
- Sumo Logic エンドポイント
Sumo Logic には 5 つのデプロイ、つまりポッドがあります。これは、Sumo Logic アカウントが作成された地理的位置と日付に応じて割り当てられます。 - Collector 管理 API
Collector 管理 API により、JSON ファイルを使用する Collector の初期 Source 設定を定義できます。HTTP エンドポイントで Collector および Source の作成、更新、削除を行うこともできます。 - 検索ジョブ API
Sumo Logic では、サードパーティ スクリプトおよびアプリケーションのリソースおよびログ データにアクセスするための検索ジョブ API を公開しています。この API は Representational State Transfer (REST) パターンに従い、使いやすさと一貫性を実現するために最適化されています。
Sumo Logic アプリケーション
Sumo Logic アプリケーションには、そのまま使用できるダッシュボード、レポート、保存済み検索。および一般的なデータ ソース向けのフィールド抽出が用意されています。Sumo Logic アプリケーションをインストールすると、こうした事前設定済みの検索およびダッシュボードが Source 設定に応じてカスタマイズされ、自分で選択したライブラリのフォルダにデータが入力されます。
- ライブラリの使用
ライブラリは、Sumo Logic アカウントの共有および保存済みコンテンツ、さらに組織内の他のユーザが共有するコンテンツの中心です。すべての Sumo Logic アプリケーションをライブラリから使用できます。 - Sumo Logic アプリケーションからの検索の実行
Sumo Logic アプリケーションには、一般的なデータ ソース向けの事前構築済み保存済み検索が多数用意されています。これらの検索は、アプリケーション自体をインストールしなくてもデータに対して実行できます。そのため、インストールするかどうか決断する前に、アプリケーション内でデータに対する検索を試してみることができます。または、検索を表示して、クエリ例の品質を確認することができます。 - ライブラリからのアプリケーションのインストール
Sumo Logic アプリケーションはライブラリにあります。一般的なデータ ソースの膨大なリストの中から選択し、ライブラリから直接インストールできます。一部のアプリケーションでは、個別のインストール要件が設定されています。必ずアプリケーションのヘルプ トピックで個別の手順を確認してください。 - ログ分析クイックスタート アプリケーション
特に Sumo Logic の新規ユーザ向けに作成されたログ分析クイックスタート アプリケーションには、生成場所に関係なくログ ファイルから重要情報を抽出するための検索が含まれています。ログ管理が初めての場合や、他の製品からの移行をお考えの場合でも、ログ分析クイックスタート アプリケーションにより、速やかに Sumo Logic の検索、視覚化、アナリティクス機能を使用できます。