前後のメッセージの検索
前後のメッセージ機能を使用すると、識別されたホスト、ファイル名、カテゴリなどのコンテキストから収集したメッセージについて、その前後で発生したイベントを調査できます。これにより、定義された時間範囲におけるアクティビティを参照できます。
[Messages (メッセージ)] リストで結果を参照するとき、メッセージによってはさらに多くのコンテキストの確認が必要な場合があります。このイベントの直前と直後にどのようなイベントが発生しているか? このホストで、他にどのようなイベントが同時に発生しているか? 前後のメッセージを検索すれば、現在のメッセージのコンテキストを確認して、前後のアクティビティについて把握できます。
前後のメッセージの検索を開始すると、対象のメッセージ (前後のメッセージを検索する基点となるメッセージ) が青色で強調表示されるため、現在の位置が把握しやすくなります。
制限事項
- 前後のメッセージは最初の 10 万件に制限されます。時間範囲に 10 万件を超えるメッセージが含まれている場合、返される結果に元のメッセージが含まれない可能性があります。
- 前後のメッセージを検索する新しいクエリが作成されると、選択されたメタデータがのみが検索されます。元のクエリは検索には追加されません。以下のセクションに例を示します。
前後のメッセージを検索するには、次の手順を実行します。
- [Messages (メッセージ)] タブの任意のメッセージに対して、次のいずれかの横にある下矢印を選択します。
- _sourceHost.システム ホストが同じメッセージが照合されます。
- _sourceName.ファイル パスとホストが同じメッセージが照合されます。
- _sourceCategory.ユーザ作成メタデータが同じメッセージが照合されます。
- 選択したメッセージの前後で検索する時間範囲を選択します。1 分、5 分、または 10 分を選択します。次の例では、選択したメッセージとホストおよびファイル パスが同じで、10 分間の時間範囲 (5 分前から 5 分後まで) のメッセージが検索によって返されます。
新しい検索タブが開き、前後のメッセージが表示されます。ログ ファイル内の現在の場所が次のように強調表示されます。
場所がわからなくなった場合は、[Show Original Message (元のメッセージを表示)] をクリックして強調表示されたメッセージに戻ることができます。
前後のメッセージを検索する新しいクエリが作成されると、選択されたメタデータがのみが検索されます。元のクエリは検索には追加されません。たとえば、以下のクエリで検索すると:
_view=audit HTTP Error
ホストのコンテキストから前後の分を表示するためのクエリは次のようになります。
_sourceHost=52.5.127.200
選択されたメタデータがのみが検索されます。