キーワード検索式
ブール ロジックとワイルドカードを使用することで、複数の用語を検索したり、メッセージ内の用語の分布に関するロジックを表現したり、ワイルドカードを使用して用語の一部を指定したりできます。キーワード式には、_collector、_sourceCategory、_sourceName、および _sourceHost などのフィールドの検索メタデータも記述できます。
[Message (メッセージ)] タブに表示されているメッセージの語句をクリックして、キーワード検索式に追加します (AND 項)。結果から語句を削除するには、任意の語句を Alt キーを押しながらクリックします (NOT 項または ! 項)。新しいキーワード式で照合するために、クエリをもう一度実行します。
構文
keyword keyword OR keyword NOT keyword*keyword*_sourceCategory="keywords with spaces or special characters"_sourceHost=*keyword*
ルール
- AND は暗黙的です。
- ブール オペレータの
NOT、AND、ORがサポートされます。 - ゼロ個以上の文字に対して * がサポートされます。
- _sourceHost、_sourceCategory、_sourceName など、コレクタとソースの設定中に作成された Sumo Logic メタデータ フィールドがサポートされます。
- 区切り文字 (
- _ : / . + @ # $ % ^) を使用できます。 - スペースや特殊文字を含む用語などのキーワード句は、引用符 (
" ") で囲む必要があります。 - キーワード検索では大文字と小文字が区別されません。
- 括弧によって検索式をまとめることができるため、複雑なクエリを実行するために必要な構造の作成に括弧を利用できます。括弧が必要になるのは、次の両方の条件が当てはまる場合だけです。
- クエリに 3 つ以上の検索式が含まれている。
- クエリで、検索式を結合するために
ANDとORオペレータの両方を使用する。
- ブール オペレータの優先順位は、括弧、
NOT、AND、ORの順になります。
例
*error OR fail error AND fail*(error OR fail) and debug error* OR (fail and debug) error NOT fail(error OR fail) NOT debug15:39 NOT 15:39:26_sourceCategory="Sumo Logic Collector logs" AND critical_sourceHost=ldapserver AND _sourceCategory="hr-dept" AND "failed login"_sourceHost=Atlanta AND (_sourceCategory="win-app-logs" OR _sourceName="win-firewall-logs")_sourceHost="10.1.12.22" AND_sourceCategory="my category" NOT _sourceCategory="some-other" AND _sourceName="/var/log/some.log"
大文字と小文字が区別されるキーワード検索
大文字と小文字が区別されるキーワード検索を実行するには、parse regex オペレータを使用します。
たとえば、すべての小文字の情報を照合する場合は、次のクエリを使用できます。
info | parse regex "(?<dummy>info)"
ここで <dummy> は、ユーザ追加フィールドであり、"info" がすべて小文字であることを強制すること以外には使用されません。
文字列をすべて小文字またはすべて大文字に変換するには、オペレータ toUpperCase と toLowerCase を使用します。