メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 2 - シンプルな parse、グループ化、フィルタ

  1. 最後の更新
  2. PDFとして保存
このラボでは、parse、集計、および結果のフィルタリングの基本事項について説明します。
検索結果を parse してグループ化するための基本的な operator について学習します。それぞれの詳細は後のラボで取り上げます。

 

  1. Apache のログ (アクセス ログとエラー ログ) で過去 15 分間のメッセージを検索し、_source 別にメッセージをカウントします。

_sourceCategory=Labs/Apache/*

| count by _source

  1. parse regex を使用して IP アドレスを parse するようにクエリを更新し、IP アドレス別にメッセージをカウントします。

_sourceCategory=Labs/Apache/*

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count by ip_address

  1. カウントが 2500 を超える結果は除外します。結果を円グラフで表示します。

_sourceCategory=Labs/Apache/*

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count by ip_address

| where _count > 2500

円グラフの画像

  1. 新しいクエリで、帯域幅の使用量が多い IP アドレスの上位 10 件を特定します。これにはバイト サイズと Source IP の parse が必要です。

_sourceCategory=Labs/Apache/Access

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| parse " 200 * " as size

| sum(size) as total_bytes by ip_address

| top 10 ip_address by total_bytes

 

おまけ: Source IP ごとに平均サイズを特定します。

  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. おすすめの記事はありません。
  1. 記事のタイプ
    トピック
  2. タグ
    1. グラフ
    2. グラフ データ