メインコンテンツまでスキップ
Sumo Logic Japanese

検索メタデータ

Sumo Logic では、データの収集時に、ログ メッセージにメタデータ タグが付加されます。これは、ログ データを検索するときに役立ちます。このタグによって、データの取り込み元のコレクタやソース、ログのタイプなどをすばやく識別できます。

一部のメタデータ フィールドは、コレクタのインストール時またはソースの設定時に入力した値によって決定されます。それらのフィールドはいつでも編集できます。

検索可能なメタデータ フィールド

クエリでは、次の Sumo Logic メタデータ フィールドを任意に使用して実行できます。

名前 説明
_collector ログ メッセージを受信したコレクタの名前 (コレクタのインストール時に設定)。
_messageCount メッセージの受信時にコレクタによって追加された (ソースごとの) シーケンス番号。
_messageTime メッセージのタイムスタンプ (ミリ秒)。メッセージにタイムスタンプがない場合、messageTime に receiptTime が使用されます。
_raw 未処理のログ メッセージ。
_receiptTime コレクタでメッセージが受信された時間 (ミリ秒)。
_size ログ メッセージのサイズ (バイト単位)。
_source ソースの名前。ソースの設定時に入力した名前によって決定されます。
_sourceCategory ログ メッセージを収集したソースのカテゴリ。これは、最大 1,024 文字です。
_sourceHost ソースのホスト名。ローカル ソースの場合は、ソースを設定したときにソースの名前が設定されます。リモート コレクタの場合は、このフィールドにリモート ホストの名前が使用されます。_sourceHost メタデータ フィールドは、リバース DNS ルックアップを使用して入力されます。名前を解決できない場合は、_sourceHostlocalhost として表示されます。これは、最大 128 文字です。
_sourceName ログ ファイルの名前。ソースを設定したときに入力したパスによって決定されます。
_format タイムスタンプのパースに使用されるパターン。詳細は、こちらを参照してください。

メタデータの検索

メタデータを使用して検索するには、次の手順を実行します。

  1. 最初のパイプより前にあるキーワード式内で、フィールド名を使用してメタデータ タイプを入力します。
  2. 等号 (=) を追加します。
  3. 検索対象のメタデータ文字列を追加します。次のいくつかのヒントを参照してください。
    • 用語の一部または文字列の前後にワイルドカードを付加することで、最も多くの結果を取得できます。
    • メタデータにスペースが含まれている場合は、文字列を引用符で囲み、ソース設定時に入力したとおりにテキストを入力します。
    • 引用符とワイルドカードは同時に使用できません。
    • メタデータ タグは、検索時に大文字と小文字が区別されません。

メタデータ フィールドは、キーワード検索式と同じルールに従います。

次に表に、各メタデータ タイプのいくつかの例と説明を示します。

説明
  • _collector=Mac_server
  • _collector=AWS_1*

指定されたコレクタからのみ結果を返します。コレクタがインストールされてアクティブ化されたときに入力されます。

  • _source=main_web_app
  • _source=*syslog*

指定されたソースからのみ結果を返します。ソースが設定されたときに入力されます。

  • _sourceCategory=*apache*
  • _sourceCategory="Security Logs"

タグが 1 つのソースに適用されたか、連続するソースに適用されたかによって、1 つまたは複数のソースから結果が返されます。ソースが設定されたときに入力されます。 

  • _sourceHost=hostname
  • _sourceHost=*RAS*

複数のソースを持つコレクタに対して、コレクタ レベルで値が入力されていない限り、通常は 1 つのソースから結果が返されます。

ソースの設定時にこのフィールドが空白のままの場合、ソース ホストの値がホスト システムの値から取得されます。カスタム値は、ソースまたはコレクタの設定で入力できます。ソース レベルで入力されたメタデータ値は、コレクタの値よりも優先されます。 

  • _sourceName=path/to/file/
  • _sourceName=*path* 


     

1 つ以上のソース パスから結果が返されます。ソースが設定されたときに入力されます。メタデータ フィールド _sourceName はソースの名前ではなく、ファイル パスです。 

[Messages (メッセージ)] タブでは、各メッセージのメタデータ タグが表示されます。
 

1 つのクエリでメタデータ フィールドのさまざまな値を検索する

同じメタデータ フィールドの複数の値を検索するには、条件オペレータの OR を使用します。

メタデータ フィールドは、キーワード検索式と同じルールに従います。

例:

(_sourceCategory=*apache* or _sourceCategory="Security Logs")

  • この記事は役に立ちましたか?