フィールド ブラウザ
集計クエリと非集計クエリの両方に対して、[Search (検索)] ページの [Messages (メッセージ)] タブの左側にフィールド ブラウザが表示されます。フィールド ブラウザでは、選択したフィールドを parse することなく表示または非表示にできるため、関心のあるフィールドのみに検索の焦点を絞ることができます。関心のあるフィールドに焦点を絞ることで、表示したくないフィールドの「ノイズ」に悩まされることがなくなります。
非集計クエリの場合、フィールド ブラウザは、検索の結果を絞り込むときや、どのフィールドがログ タイプ、パーティション、または Scheduled View にあるかわからない場合に役立ちます。広い範囲で検索を実行してから、表示されているフィールドのリストを絞り込むことで、探しているデータを見つけることができます。
フィールド ブラウザのしくみ
フィールド ブラウザには、検索で返された各フィールドの値の数が表示されます。リアルタイムで動作するため、表示または非表示にするフィールドを細かく調整できます。表示するフィールドを設定したら、検索で正しいフィールドが常に表示されるように環境設定を保存します。環境設定は自分のユーザ アカウントに対してのみ保存されるため、他のユーザ アカウントでのデータの表示方法は変わりません。
ログにあるフィールドに加えて、フィールド ブラウザには [Time (時間)] (メッセージ時間用)、[Receipt Time (受信時間)] (受信時間用)、および [Messages (メッセージ)] (未処理のログ メッセージ用) が表示されます。これらのフィールドには、検索可能な数値または文字列データが含まれていないため、ドリルダウン検索を実行できません。
- このフィールドにテキストを入力することで、フィールドを検索します。
- [Messages (メッセージ)] タブに表示されるフィールドの一覧です。
- [Timestamp (タイムスタンプ)] フィールドを示します。
- 表示されないフィールドの一覧です。
- フィールドにテキスト文字列が含まれていることを示します。
- フィールドに数値データが含まれていることを示します。
- クリックすると、この検索の設定が保存されます。
- フィールドの数が表示されます。非集計クエリでのみ表示されます。
- カウント値の前にある波形記号 (~) は、値が概算値であることを示します。parse されたメッセージの数が 2500 以下の場合は、正確な値がフィールド ブラウザに表示されます。parse されたメッセージの数が 2500 を超える場合は、概算値が表示されます。
フィールド ブラウザに絶対値を表示する手順
- Sumo Logic の左ナビゲーション バーで、[Manage (管理)] > [Developers (開発者)] に移動します。
- 表示されたリストで、UIFacetBrowsingAbsoluteValues を見つけます。
- [Enabled (有効)] に切り替えます。
フィールドの検索
フィールド ブラウザではフィールドを検索できます。これは、メッセージから parse されたフィールドが何百も存在する場合に特に便利な機能です。検索フィールドにテキスト文字列を入力すると、下のリストに結果が動的に表示されます。次のガイドラインが適用されます。
- 検索では大文字と小文字は区別されます。
- 検索条件は、[Display Fields (表示フィールド)] と [Hidden Fields (非表示のフィールド)] に対して表示されます。
- 検索結果では、一致する文字が強調表示されます。
この例では、検索フィールドに「ka」と入力したので、次の結果がすぐに表示されました。
ネストされたフィールドのグループ化
JSON や KV で見られるようなネストされたフィールドは、辿りやすい本質的な構造に基づいてグループ化されます。次の例では、JSON のネスト構造を使用しています。
制限事項
フィールド ブラウザには、次のように集計クエリに対して制限があります。
- ドリルダウン検索は集計クエリには使用できません。
- 集計クエリの場合、フィールドの数 (上記の項目 G) は表示されません。
- フィールドの数 - 返されたメッセージ数が 2500 以下の場合は、正確な計算が表示されます。2500 を超えるメッセージが返された場合は、概算値が表示されます。