キーワード検索式
ブール ロジックとワイルドカードを使用することで、複数の用語を検索したり、メッセージ内の用語の分布に関するロジックを表現したり、ワイルドカードを使用して用語の一部を指定したりできます。キーワード式には、_collector、_sourceCategory、_sourceName、および _sourceHost などの組み込みメタデータ フィールドを含めることができます。
[Message (メッセージ)] タブに表示されているメッセージの語句をクリックして、キーワード検索式に追加します (AND 項)。結果から語句を削除するには、任意の語句を Alt キーを押しながらクリックします (NOT 項または ! 項)。新しいキーワード式で照合するために、クエリをもう一度実行します。
構文
keyword keyword OR keyword NOT keyword
*keyword*
_sourceCategory="keywords with spaces or special characters"
_sourceHost=*keyword*
ルール
- AND は暗黙的です。
- boolean operator の
NOT
、AND、OR
。 - ワイルドカードの
*
は任意の 0 文字以上の文字を表します。 - _sourceHost、_sourceCategory、_sourceName など、Collector と Source の設定中に作成された組み込みメタデータ フィールドがサポートされます。
- カスタム ログ メタデータ フィールドをサポートします。
- 区切り文字 (
- _ : / . + @ # $ % ^
) を使用できます。 - スペースや特殊文字を含む式は、引用符 (
""
) で囲む必要があります。 - キーワード式では大文字と小文字が区別されません。
- 括弧によって検索式をまとめることができるため、複雑なクエリを実行するために必要な構造の作成に括弧を利用できます。括弧が必要になるのは、次の両方の条件が当てはまる場合だけです。
- クエリに 3 つ以上の検索式が含まれている。
- クエリで、検索式を結合するために
AND
とOR
operator の両方を使用する。
- boolean operator の優先順位は、
NOT
、AND
、OR
の順になります。括弧によって優先順位を変えることができます。 - (一重引用符ではなく) 二重引用符が付いた文字は文字列リテラルです。文字列の二重引用符をエスケープするにはバックスラッシュを使用します。例:
"Don’t forget"
"They said, \"No later than 10\""
例
*
error OR fail error AND fail*
(error OR fail) and debug error* OR (fail and debug) error NOT fail
(error OR fail) NOT debug
15:39 NOT 15:39:26
_sourceCategory="Sumo Logic Collector logs" AND critical
_sourceHost=ldapserver AND _sourceCategory="hr-dept" AND "failed login"
_sourceHost=Atlanta AND (_sourceCategory="win-app-logs" OR _sourceName="win-firewall-logs")
_sourceHost="10.1.12.22" AND_sourceCategory="my category" NOT _sourceCategory="some-other" AND _sourceName="/var/log/some.log"
大文字と小文字が区別されるキーワード検索
デフォルトでは、キーワード式では大文字と小文字が区別されません。大文字と小文字が区別されるキーワード検索を実行するには、parse regex operator を使用します。検索を効率よく実行するため、クエリの範囲では最初のパイプ (|) の前にキーワードを指定する必要があります。
たとえば、すべて小文字の "info" というキーワードを検索する場合は、次のクエリを使用します。
info
| parse regex "(?<dummy>info)"
ここで <dummy>
は、ユーザ追加フィールドであり、"info" がすべて小文字であることを強制する目的以外には使用されません。
また、すべて大文字の "INFO" というキーワードを検索する場合は、次のクエリを使用します。
info
| parse regex "(?<dummy>INFO)"
ここで <dummy>
は、ユーザ追加フィールドであり、"INFO" がすべて大文字であることを強制する目的以外には使用されません。
文字列をすべて小文字またはすべて大文字に変換するには、operator toUpperCase と toLowerCase を使用します。