メインコンテンツまでスキップ
Sumo Logic Japanese

メタデータの命名規則

Sumo Logic の検索では、メッセージでソース ホストやソース カテゴリなどのメタデータ タグを使用できます。このメタデータは収集時にログ メッセージに添付されます。すべてのメタデータは、ソースを設定したときに入力した値によって決定されます。これらのタグは、有効なキーワードや用語を提供するため非常に重要であり、検索クエリでターゲットを絞った結果を見つけるために利用できます。 

次の論理的な分類の案は、次のセクションで説明しています。

  • コレクタ。アクティブ化の際に入力するコレクタの名前。
  • ソース。ソースの作成時に入力するソースの名前。
  • Source Category (ソース カテゴリ): これは、ソースを設定するときに [Category (カテゴリ)] フィールドへの入力によって決定される、完全に任意に指定できるタグです。入力したタグは、データの種類、マシンの種類、機能、場所、任意選択のカテゴリで検索するのに役立ちます。メッセージがどのコレクタまたはソースに属するかを指定する必要はありません。最大 1,024 文字まで入力できます。
  • Source Host (ソース ホスト): リモートおよび syslog ソースの場合、これは [Hostname (ホスト名)] フィールドに入力したホスト名によって決定される固定の値です (ホストの実際のシステム値)。ローカル ファイル ソースの場合、選択した新しい値でホスト システムの値を上書きできます。最大 128 文字まで入力できます。
  • ソース名。  ソースを設定するとき [File (ファイル)] フィールドに入力するパスによって決定される固定の値です。このメタデータ タグは変更できません。

メタデータ名には英数字を使用する必要があります。また、アンダースコア、ハイフン、ピリオドなどの区切り記号を使用できます。スペースは使用可能ですが、お勧めできません。スペースを使用する場合は、検索に引用符を使用する必要があります。詳細については、「ベスト プラクティス」を参照してください。 

ソース カテゴリ

ソース カテゴリは、完全に任意に指定できるメタデータ タグです。ソース カテゴリのメタデータは、_sourceCategory という Sumo Logic フィールドに格納されています。このフィールドは、ソースの設定時に [Source Category (ソース カテゴリ)] フィールドにテキストを入力したときに作成されます。タグを論理階層の上位に設定したい場合は、コレクタに属するすべてのソースに対して、コレクタの設定にテキストを入力することもできます。たとえば、1 つのコレクタに送信する 3 つの Syslog ソースがある場合は、各ソースに別々にタグを付けるのではなく、コレクタ レベルでタグのリストを設定することをお勧めします。より広い範囲におよぶコレクタ レベルのタグよりも、より限定的なソース レベルのタグの方が優先されます。 

多くのログ ファイルが複数の論理カテゴリに属する可能性があるため、ログ カテゴリは多少複雑になる場合があります。たとえば、パフォーマンスのモニタリング、セキュリティ、監査コンプライアンスなど、いくつかの目的で Apache ログを収集できます。主なカテゴリのいくつかを次に示します。

  • セキュリティ (セキュリティ関連のログ用)
  • アプリケーション (アプリケーションのログ用)
  • 監査 (監査コンプライアンスのログ用)
  • パフォーマンス (パフォーマンス関連のログ用)
  • デバッグ (アプリケーション開発デバッグ用)
  • システム ヘルス (システム ヘルスのログ用)
  • OS (オペレーティング システム レベルのログ用)

これらのログ ファイルについて、最終的に収集するすべての検索、レポート、およびユース ケースを予測することが難しい場合もあります。ソース カテゴリは、次のように "一般的から限定的" な順序で、スラッシュ (/) で区切ったメタデータ タグの階層として構成することをお勧めします。

  • IT/Network/Firewall/Cisco/ASA
  • IT/Network/AP/Aruba
  • Service/Prod/App/StoreFront
  • Service/Dev/App/Shipment
  • Audit/Sorbox
  • Sandbox/Jimmy/linuxtest
  • Debug/CustomApplication/Foo

OS_Application_Mail と、たとえば Application_Mail との暗黙的な違いは、単純にメール転送エージェント (MTA) を実行しているかどうかであり、cron ジョブを送信するために標準で Linux に付属しているものか (OS_Application_Mail)、組織または顧客にメール機能を提供するサービスとして MTA を実行しているかの違いです (Application_Mail)。

これにより、次のような検索が可能になります。

  • _sourceCategory=OS*
  • _sourceCategory=*Audit
  • _sourceCategory=*Application*

詳細は、「ベスト プラクティス: 適切なソース カテゴリと不適切なソース カテゴリ」を参照してください。 

ソース ホスト

ホスト名のメタデータは、_sourceHost という Sumo Logic フィールドに格納されています。ホスト名として、Sumo Logic はホストの実際の OS レベルのホスト名を取得して使用します。ローカル ソースの場合は、このフィールドに必要に応じて異なる値を入力できます。システムのホスト名を上書きする場合は、データを収集するホストを一意に識別する意味のある名前を慎重に選択することをお勧めします。 

1 つのリモート ソースは複数のホストから同じファイルを収集するように設定できるため、リモート収集では、ソース ホストのメタデータを特殊な状況に使用できます。この場合、各メッセージは 1 つのホスト名 (メッセージの発信元のホスト) のみでタグ付けされます。

システム名をカスタム メタデータで上書きすることを選択した場合、次のようなわかりやすい階層でホスト名を編成することが推奨されます。

  • Location/Purpose/UID
  • SF/MySQL/Primary
  • Boston/FW/Secondary
  • USEast_Hadoop_37

次に、ワイルドカードを使用して、ソース ホスト メタデータ内の一連の用語のいずれか 1 つで検索を絞り込むことができます。例:

  • _sourceHost=*USEast*
  • _sourceHost=*MySQL*
  • _sourceHost=*FW*

ソース ホストのメタデータについて、通常は、組織の現在の規則に従うことが最善の方法です。 

ソース名

ソース名 (_sourceName) というメタデータ フィールドには、ソースを作成したときに入力したファイル パスが含まれています。ソースが複数のファイル パスを指している場合、各ファイル パスからのメッセージは、それらが収集された固有のパス名でタグ付けされます。

ベスト プラクティス

ソース メタデータを入力するときは、スペースや特殊文字を使用しないことをお勧めします。スペースと特殊文字はメタデータ フィールドに使用できますが、スペースを使用する場合には、次の点に注意してください。

  • 結果で検索するには、ソースの設定時に入力したとおりのメタデータを引用符で囲む必要があります。
  • ワイルドカードは引用符と一緒に使用できないため使えません。
  • この記事は役に立ちましたか?