メインコンテンツまでスキップ
Sumo Logic Japanese

検索の基本について

Sumo Logic の検索構文は、じょうご即ち「パイプライン」の概念に基づいており、さらに親しみやすい論理オペレータを使用できるため、アドホック クエリをすばやく作成できます。

Sumo Logic の検索構文は、じょうご即ち「パイプライン」の概念に基づいています。じょうごの広い口は、現在の全 Sumo Logic データから始めることを表し、じょうごの細まっていく部分はキーワードとオペレータをパイプ (「|」) で区切って入力することで絞り込むこと表しています。各オペレータは前のオペレータからの結果を基にして処理するため、探しているものが正確に見つかるまで検索を段階的にフィルタリングして絞り込んでいくことができます。

[Search (検索)] タブでは、検索クエリが次のような形式で記述されます。

keyword search | parse | where | group-by | sort | limit

基本的な検索から始める:

  1. タブ バーの [+] をクリックして、[Log Search (ログ検索)] を選択します。
  2. 検索フィールドに「error」のような単純なキーワードを入力するか、またはアスタリスクのワイルドカード (*) を入力してすべてのメッセージを検索します。 
  3. Enter キーを押すか、[Start (開始)] をクリックします。
  4. Sumo Logic では、ヒストグラムの下の [Messages (メッセージ)] タブに、検索語を含むすべてのログ エントリが返されます。

次に、もう少し複雑な検索クエリを見て、クエリがどのように実行されるか確認しましょう。

クエリはすべて、キーワードまたは文字列検索で始めます。ワイルドカードとして、0 個以上の文字にはアスタリスク (*) を使用でき、単一文字には疑問符 (?) を使用できます。文字列は、メッセージ内の開始と終了アンカー ポイントに基づいてパースし、次にユーザ作成フィールドとしてエイリアス化できます。すべてのオペレータはパイプ記号 (|) で区切ります。

次に例を示します。

_sourcecategory=apache | parse "* --" as src_ip | count by src_ip | sort _count

各部分の意味は次のとおりです。

query_syntax_new.png

クエリが長く複雑になったときには、次のようにパイプの前でソフトリターンを使用してクエリを整理することをお勧めします。

_sourcecategory=apache
| parse "* --" as src_ip
| count by src_ip
| sort _count

この方法でパイプを整列することで、クエリが格段に読みやすくなります。 

関連項目:

  • 詳細は、「検索の作成方法」を参照してください。
  • より複雑な検索クエリを記述するには、Sumo Logic の検索オペレータを使用してください。
  • 検索を保存することで、後から再利用したり、メール アドレスへ配信できるスケジュール済み検索として定期的に実行したりできます。
  • 各ユーザの権限に応じて、検索クエリの結果へのリンクを共有できます。検索へのリンクを共有するには、クエリの実行後に、検索クエリ ボックスの下にある [Share (共有)] をクリックします。このリンクは作成後、3 年間有効です。 
  • この記事は役に立ちましたか?