メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 2: ログ データの検索

[Search (検索)] ページを使用して、ログ データを検索、parse、集計し、結果を保存する方法について説明します。

ログ データを検索する

このチュートリアルのパート 1 では、組織内の他のユーザが共有済み、または Sumo Logic アプリケーション内にすでにあるデータを表示する方法について学習しました。このパートでは、[Search (検索)] ページを使用して、ログ データを検索、parse、集計し、結果を保存する方法について説明します。

クエリを作成する

このチュートリアルのパート 1 では、Apache Access データへのアクセス方法を学習しました。今回は、キーワード GET を含む Source Category 内のログ メッセージを検索します。

  1. [Search (検索)] ページがまだ開いていない場合は、上部のタブ バーの NewTab.png をクリックして、[Log Search (ログ検索)] を選択します。
  2. クエリ領域に、以下のクエリを入力します。

    _sourceCategory=Labs/Apache/Access and GET

    キーワードに大文字小文字の区別はありません。 
  3. ドロップダウン メニューから設定済みの時間範囲を選択するか、-1d ~ -12h などの相対時間範囲を入力するか、3/08/2017 11:00 AM ~ 3/08/2017 11:00 PM のように具体的な時間範囲を入力します。今回は、ドロップダウン メニューから [Last 60 Minutes (最近 60 分)] を選択します。

    60MinuteTimeRange
  4. [Start (開始)] をクリックして、検索を実行し結果を表示します。[Messages (メッセージ)] タブに、キーワード GET が強調表示され、一致するページ数が表示されます。

    Get.png

メッセージを parse する

parse を行うと検索結果のスキャンや解釈が簡単になります。GET に続く情報のログ メッセージを parse して、新しいクエリを作成します。URL、ステータス コード、サイズ、参照元で parse します。(最初の検索結果は例と同じにならないかもしれませんが、問題ありません)。

  1. 最初の結果のメッセージで、GET とそれ以降の URL、ステータス コード、サイズ、参照元などのすべてを選択して強調表示します。強調表示したら、強調表示されたテキストを右クリックします。表示されたメニューから [Parse the selected text (選択したテキストを parse)] を選択します。[Parse Text (テキストの parse)] ダイアログが開きます。ここで、parse を実行してフィールドに置き換えるテキストを選択できます。これらのフィールドを検索ボックスに追加して、検索クエリを作成します。
    ParseSelected.png
  2. URL を強調表示して、[Click to extract this value (クリックしてこの値を抽出)] を選択します。
    クリックして値を抽出
  3. [Fields (フィールド)] ボックスに、「URL」と入力し、値を区切るためにコンマを追加します。
    URL コンマ
  4. 次にステータス コード 200 を強調表示して、[Click to extract this value (クリックしてこの値を抽出)] を選択します。
  5. [Fields (フィールド)] ボックスに、「status_code」と入力し、コンマを追加します。命名のベスト プラクティスに従って、アンダースコアを使用して単語を連結し、フィールドに名前を付けます。
  6. 次にファイル サイズを強調表示して、[Click to extract this value (クリックしてこの値を抽出)] を選択します。
  7. [Fields (フィールド)] ボックスに、「size」と入力し、コンマを追加します。
    clipboard_e0f104036393b32f116d0c5b0db8b0bce.png
  8. 最後に、参照元 URL を強調表示しますが、引用符は含めません。[Click to extract this value (クリックしてこの値を抽出)] を選択します。clipboard_ef696120afce60ee2fa88bc4bc15255d6.png
  9. [Fields (フィールド)] ボックスに、「referrer」と入力し、[Submit (送信)] をクリックします。
    参照元
    parse 情報がクエリに追加されています。検索ボックスに自分で入力することもできますが、[Parse Text (テキストの parse)] ダイアログを使用すると、構文を憶えなくてもクエリが作成できるため便利です。これにより、クエリは以下のようになります。
    _sourceCategory=Labs/Apache/Access and GET
    | parse "\"GET * HTTP/1.1\" * * \"*\" " as url,status_code,size,referrer

    parse.png
  10. [Start (開始)] をクリックして、クエリを実行します。
  11. [Messages (メッセージ)] ペインに、parse されたフィールド (referrer、size、status_code、URL) が未処理のメッセージから抽出されています。[Message (メッセージ)] テキストも表示されています。
    referrer.png

検索を保存する

次に進む前に、検索を保存して、後で簡単に再実行できるようにします。

  1. [Save As (名前を付けて保存)] をクリックします。
    Save As.png
  2. 検索の名前を入力します。「Apache Status Codes」と入力します。必要に応じて説明を入力します。クエリと時間範囲は自動的に入力されます。必要に応じて検索の保存時にどちらも変更できます。
    SaveSearch.png
  3. デフォルトでは、保存済み検索は [Personal (個人用)] フォルダに追加されます。表示されるサブフォルダのいずれかを選択するか、[+ New Folder (+ 新規フォルダ)] をクリックして、新しいサブフォルダを追加します。
  4. [Save (保存)] をクリックして、検索を保存し、ライブラリに追加します。名前も上部のタブ バーに表示されます。

概要

よくできました! クイック スタート ユーザ チュートリアルのパート 2 のタスクが以下のように完了しました。

  1. 検索クエリを作成しました。

  2. メッセージを parse して、スキャンと解釈が簡単になりました。

  3. 検索を保存しました。

このチュートリアルのパート 3 では、クエリへの追加、結果のグラフ化、ダッシュボードの作成を行います。

  • この記事は役に立ちましたか?