メインコンテンツまでスキップ
Sumo Logic Japanese

検索の基本について

Sumo Logic の検索構文は、じょうご即ち「パイプライン」の概念に基づいており、さらに親しみやすい論理 operator を使用できるため、アドホック クエリをすばやく作成できます。

Sumo Logic の検索構文は、じょうご即ち「パイプライン」の概念に基づいています。じょうごの広い口は、現在の全 Sumo Logic データから始めることを表し、じょうごの細まっていく部分はキーワードと operator をパイプ (「|」) で区切って入力することで絞り込むこと表しています。各 operator は前の operator からの結果を基にして処理するため、探しているものが正確に見つかるまで検索を段階的にフィルタリングして絞り込んでいくことができます。

[Search (検索)] タブでは、検索クエリが次のような形式で記述されます。

keyword search | parse | where | group-by | sort | limit

基本的な検索から始める:

  1. タブ バーの [+] をクリックして、[Log Search (ログ検索)] を選択します。
  2. 検索フィールドに「error」のような単純なキーワードを入力するか、またはアスタリスクのワイルドカード (*) を入力してすべてのメッセージを検索します。 
  3. Enter キーを押すか、[Start (開始)] をクリックします。
  4. Sumo Logic では、ヒストグラムの下の [Messages (メッセージ)] タブに、検索語を含むすべてのログ エントリが返されます。

次に、もう少し複雑な検索クエリを見て、クエリがどのように実行されるか確認しましょう。

クエリはすべて、キーワードまたは文字列検索で始めます。ワイルドカードとして、0 個以上の文字にはアスタリスク (*) を使用でき、単一文字には疑問符 (?) を使用できます。文字列は、メッセージ内の開始と終了アンカー ポイントに基づいて parse し、次にユーザ作成フィールドとしてエイリアス化できます。すべての operator はパイプ記号 (|) で区切ります。

次に例を示します。

_sourcecategory=apache | parse "* --" as src_ip | count by src_ip | sort _count

各部分の意味は次のとおりです。

query_syntax_new.png

クエリが長く複雑になったときには、次のようにパイプの前でソフトリターンを使用してクエリを整理することをお勧めします。

_sourcecategory=apache
| parse "* --" as src_ip
| count by src_ip
| sort _count

この方法でパイプを整列することで、クエリが格段に読みやすくなります。 

その他の参照先

  • この記事は役に立ちましたか?