メインコンテンツまでスキップ
Sumo Logic Japanese

組み込みメタデータ

  1. 最後の更新
  2. PDFとして保存

Sumo Logic には、取得されたデータに自動的にタグ付けされるメタデータ フィールドがいくつかあります。これらのメタデータ フィールドは、さまざまな方法でサービスによって参照され (ユーザ インターフェイスで収集を管理する場合など)、検索クエリでも参照できます。

組み込みメタデータ フィールド

クエリでは、次の組み込みメタデータ フィールドを任意に使用して実行できます。

Name 説明
_collector ログ メッセージを受信した Collector の名前 (Collector のインストール時に設定)。
_messageCount メッセージの受信時に Collector によって追加された (Source ごとの) シーケンス番号。
_messageTime メッセージのタイムスタンプ (ミリ秒)。メッセージにタイムスタンプがない場合、messageTime に receiptTime が使用されます。
_raw 未処理のログ メッセージ。
_receiptTime Collector でメッセージが受信された時間 (ミリ秒)。
_size ログ メッセージのサイズ (バイト単位)。
_source Source の名前。Source の設定時に入力した名前によって決定されます。
_sourceCategory ログ メッセージを収集した Source のカテゴリ。最大 1,024 文字まで入力できます。
_sourceHost Source のホスト名。ローカル Source の場合は、Source を設定したときに Source の名前が設定されます。リモート Collector の場合は、このフィールドにリモート ホストの名前が使用されます。_sourceHost メタデータ フィールドは、リバース DNS ルックアップを使用して入力されます。名前を解決できない場合は、_sourceHostlocalhost として表示されます。最大 128 文字まで入力できます。
_sourceName ログ ファイルの名前。Source を設定したときに入力したパスによって決定されます。
_format タイムスタンプの parse に使用されるパターン。詳細は、こちらを参照してください。

メタデータの検索

メタデータ フィールドの検索は、キーワード検索式と同じルールに従います。メタデータ フィールドを使用して検索を実行するには、次の手順を実行します。

  1. 最初のパイプより前にあるキーワード式内で、メタデータ フィールド名を入力します。
  2. 等号 (=) を追加します。
  3. 検索対象のメタデータ値を追加します。次のいくつかのヒントを参照してください。
    • 用語の一部または文字列の前後にワイルドカードを付加することで、最も多くの結果を取得できます。
    • メタデータ値にスペースが含まれる場合は、引用符で囲みます。
    • 引用符とワイルドカードは同時に使用できません。
    • メタデータ タグは、検索時に大文字と小文字が区別されません。

次に表に、各メタデータ タイプのいくつかの例と説明を示します。

説明
  • _collector=Mac_server
  • _collector=AWS_1*

指定された Collector からのみ結果を返します。Collector がインストールされてアクティブ化されたときに入力されます。
  • _source=main_web_app
  • _source=*syslog*

指定された Source からのみ結果を返します。Source が設定されたときに入力されます。
  • _sourceCategory=*apache*
  • _sourceCategory="Security Logs"

タグが 1 つの Source に適用されたか、連続する Source に適用されたかによって、1 つまたは複数の Source から結果が返されます。Source が設定されたときに入力されます。 
  • _sourceHost=hostname
  • _sourceHost=*RAS*

複数の Source を持つ Collector に対して、Collector レベルで値が入力されていない限り、通常は 1 つの Source から結果が返されます。

Source の設定時にこのフィールドが空白のままの場合、Source ホストの値がホスト システムの値から取得されます。カスタム値は、Source または Collector の設定で入力できます。Source レベルで入力されたメタデータ値は、Collector の値よりも優先されます。 
  • _sourceName=path/to/file/
  • _sourceName=*path* 


     

1 つ以上の Source パスから結果が返されます。Source が設定されたときに入力されます。メタデータ フィールド _sourceName は Source の名前ではなく、ファイル パスです。 

[Messages (メッセージ)] タブでは、各メッセージのメタデータ タグが表示されます。
 

1 つのクエリでメタデータ フィールドのさまざまな値を検索する

同じメタデータ フィールドの複数の値を検索するには、conditional operator の OR を使用します。

メタデータ フィールドは、キーワード検索式と同じルールに従います。

例:

(_sourceCategory=*apache* or _sourceCategory="Security Logs")

  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. 記事のタイプ
    トピック
  2. タグ
    1. _raw
    2. _raw とは
    3. Collector
    4. Source
    5. フィールド
    6. メタデータ
    7. 未処理の