Live Tail の概要
Live Tail は、Source または Collector に関連付けられたログ イベントのリアルタイム フィードを確認するために使用します。このライブ フィードは、開発やトラブルシューティングに役立ちます。
Live Tail はコマンド ライン コマンド tail -f の出力を真っ黒な背景と読みやすい白いテキストによって再現します。ログ メッセージはすべて、受信すると短い遅延で表示されます。ただし、検索の場合のようにソートはされません。
Installed Collector で構成された Source や、Hosted Collector の HTTP Source および Cloud Syslog Source から取得されたログをモニタリングできます。
Live Tail セッションでは、次のメタデータ フィールドを使用できます。
_sourceHost_sourceCategory_sourceName_source_collector
ロール ベースのアクセス制御権限は、すべての Live Tail クエリに適用されます。
次の図は、_sourceCategory=Apache/Access の Live Tail セッションを示しています。
Live Tail の機能によって、複数の Live Tail セッションの使用、新しい " ポップアップ " ウィンドウでの Live Tail セッションの表示、検索を容易にする最大 8 つのキーワードの強調表示、行間の広さ、メッセージのテキスト サイズ、メッセージの色などの Live Tail 表示の環境設定の変更などが可能です。
また、Live Tail コマンド ライン インターフェイス (CLI) も用意されています。これは、スタンドアロン アプリケーションであり、コマンド ラインから Live Tail セッションを開始して使用できます。
制限事項
- Live Tail セッションは、システムができる限り最高のパフォーマンスを発揮できるように、1 時間操作されないと期限切れになります。Live Tail セッションが期限切れになった場合は、いつでも再開できます。
- [Live Tail] タブから移動すると、セッションはその後 5 分間実行され、その後にタイムアウトします。
- 1 秒間に約 1000 メッセージのメッセージ制限があります。キーワード フィルタはメッセージ レートに影響しません。
- 現在、組織ごとの同時 Live Tail セッションは 10 個に制限されています。
- ユーザごとの Live Tail セッションは 4 つに制限されています。
- ユーザごとの Live Tail 「ポップアウト」ウィンドウは 2 つに制限されています。
_viewおよび_indexは、Live Tail クエリではサポートされていません。- ワイルドカードはキーワード、およびメタデータ フィールドの最初と最後でサポートされています。例:
- 使用可能:
_sourceCategory=*/apacheまたは_sourceCategory=prod/* - 使用不可:
_sourceCategory=prod/*/apache/
- 使用可能:
- search operator はフィルタではサポートされていません。
- 大量のデータが入ってくると、いくつかのメッセージがスキップされたり画面に表示されなかったりするか、メッセージが表示されるまでに時間がかかったりすることがあります。
- 使用しているクエリのログ メッセージの結果が多すぎる場合は、セッションが終了し、クエリをもっと具体的にするよう促すエラーが表示されることがあります。これは、できる限り最高のパフォーマンスを提供するために行われるものです。Live Tail セッションが期限切れになった場合は、いつでも再開できます。
- FER (Field Extraction Rules) によって parse されたフィールドを Live Tail で使用することはできません。
- Windows イベント Source ログと Windows パフォーマンス Source ログの場合、フィルタが正しく処理されないことがあります。フィルタを適用すると、Live Tail にデータが表示されない場合があります。
- _sourceCategory、_sourceHost、または組み込みメタ フィールドが FER で変更された場合、Live Tail ではそれらの変更がサポートされません。たとえば、未処理のデータで _sourceCategory が ABC であり、FER で XYZ に名前が変更された場合、Live Tail では XYZ として表示されません。データは未処理の形式の ABC としてのみ表示されます。
Live Tail セッションの開始
Live Tail セッションはいくつかの方法で開始できます。
新しい Live Tail ページ
- [+ New (+ 新規)] > [Live Tail] に移動します。
- Live Tail ページが開き、Live Tail セッションが開始されます。プロンプトに、モニタリングするログの _sourceCategory、_sourceHost、_sourceName、_source、または _collector の名前をフィルタとともに入力します。構文
_sourceCategory=name を使用します。(詳細については、「Live Tail のフィルタ」を参照してください)。 - [Run (実行)] をクリックするか、Enter を押します。
[Run (実行)] ボタンが [Running (実行中)] に変わり、ログ メッセージが画面に表示されます。
検索ページでの操作
- 必要に応じて、[Search (検索)] ページの検索ボックスに、Source Category、Source Host、Source 名、Source、または Collector についての有効なクエリをフィルタとともに入力します。(Live Tail では、最初のパイプの前の式がすべて取得されますが、search operator はサポートされていません)。
- 検索ボックスの下にある [Live Tail] をクリックします。
- Live Tail ページが開き、Live Tail セッションが開始されます。
ホーム ページでの操作
- [Home (ホーム)] > [Live Tail] に移動します。
- Live Tail ページが開き、Live Tail セッションが開始されます。
キーボード ショートカット
- Live Tail のキーボード ショートカットは Alt + L です。
- Live Tail ページが開き、Live Tail セッションが開始されます。
Live Tail の一時停止と再開
詳細を確認するには、[Pause (一時停止)] ボタンを使用して Live Tail を一時停止してから、マウスを使用して上下にスクロールします。また、単純に上にスクロールして、一時停止することもできます。Live Tail は実行を続けますが、画面は自動的にスクロールしなくなります。[Pause (一時停止)] ボタンが、矢印の [Jump to Bottom (一番下まで移動)] ボタンに変わります。自動スクロールを再開するには、単純に矢印ボタンをクリックするか、または画面の下部にある [Jump to Bottom (一番下まで移動)] ボタンをクリックします。これにより、ログ メッセージの一番下にジャンプします。
Live Tail を一時停止するには、次の手順を実行します。
- [Pause (一時停止)] ボタンをクリックするか、単純にマウスを使用して上にスクロールします。
[Pause (一時停止)] ボタンが、矢印の [Jump to Bottom (一番下まで移動)] ボタンに変わります。Live Tail はまだ実行していますが、画面の自動スクロールは停止します。 - ログ メッセージの詳細を確認するには、マウスを使用して上下にスクロールします。
Live Tail クエリの変更
いつでもクエリを変更すると、[Running (実行中)] ボタンが [Run (実行)] に戻ります。[Run (実行)] をクリックするか Enter キーを押すと、前の Live Tail が停止し、新しいクエリで新しい Live Tail が開始されます。
Live Tail の停止
- 詳細アイコンをクリックして、[Stop Live Tail (Live Tail の停止)] を選択します。
- 画面の表示が消えて、Live Tail が停止します。