Live Tail の概要

最後の更新
PDFとして保存

Live Tail は、ソースまたはコレクタに関連付けられたログイベントのリアルタイムフィードを確認するために使用します。このライブフィードは、開発やトラブルシューティングに役立ちます。

Live Tail はコマンドラインコマンド tail -f の出力を真っ黒な背景と読みやすい白いテキストによって再現します。ログメッセージはすべて、受信すると短い遅延で表示されます。ただし、検索の場合のようにソートはされません。

インストール済みコレクタおよびホスト型コレクタで、HTTP ソースに対して構成されたソースから取得されたログをモニタリングできます。

Live Tail セッションでは、次のメタデータフィールドを使用できます。

_sourceHost
_sourceCategory
_sourceName
_source
_collector

ロールベースのアクセス制御権限は、すべての Live Tail クエリに適用されます。

次の図は、_sourceCategory=Apache/Access の Live Tail セッションを示しています。

Live Tail の機能によって、複数の Live Tail セッションの使用、新しい "ポップアップ" ウィンドウでの Live Tail セッションの表示、検索を容易にする最大 8 つのキーワードの強調表示、行間の広さ、メッセージのテキストサイズ、メッセージの色などの Live Tail 表示の環境設定の変更などが可能です。

また、Live Tail コマンドラインインターフェイス (CLI) も用意されています。これは、スタンドアロンアプリケーションであり、コマンドラインから Live Tail セッションを開始して使用できます。

制限事項

Live Tail セッションは、システムができる限り最高のパフォーマンスを発揮できるように、1 時間操作されないと期限切れになります。Live Tail セッションが期限切れになった場合は、いつでも再開できます。
[Live Tail] タブから移動すると、セッションはその後 5 分間実行され、その後にタイムアウトします。
1 秒間に約 1000 メッセージのメッセージ制限があります。キーワードフィルタはメッセージレートに影響しません。
現在、組織ごとの同時 Live Tail セッションは 10 個に制限されています。
ユーザごとの Live Tail セッションは 4 つに制限されています。
ユーザごとの Live Tail 「ポップアウト」ウィンドウは 2 つに制限されています。
_view および _index は、Live Tail クエリではサポートされていません。
ワイルドカードはキーワード、およびメタデータフィールドの最初と最後でサポートされています。例:
- 使用可能: _sourceCategory=*/apache または _sourceCategory=prod/*
- 使用不可: _sourceCategory=prod/*/apache/
検索オペレータはフィルタではサポートされていません。
大量のデータが入ってくると、いくつかのメッセージがスキップされたり画面に表示されなかったりするか、メッセージが表示されるまでに時間がかかったりすることがあります。
使用しているクエリのログメッセージの結果が多すぎる場合は、セッションが終了し、クエリをもっと具体的にするよう促すエラーが表示されることがあります。これは、できる限り最高のパフォーマンスを提供するために行われるものです。Live Tail セッションが期限切れになった場合は、いつでも再開できます。
フィールド抽出ルールによって抽出されたフィールドを Live Tail で使用することはできません。
Windows イベントソースログと Windows パフォーマンスソースログの場合、フィルタが正しく処理されないことがあります。フィルタを適用すると、Live Tail にデータが表示されない場合があります。
_sourceCategory、_sourceHost、または組み込みメタフィールドが FER で変更された場合、Live Tail ではそれらの変更がサポートされません。たとえば、未処理のデータで _sourceCategory が ABC であり、FER で XYZ に名前が変更された場合、Live Tail では XYZ として表示されません。データは未処理の形式の ABC としてのみ表示されます。

Live Tail セッションの開始

Live Tail セッションはいくつかの方法で開始できます。

新しい Live Tail ページ

[+ New (+ 新規)] > [Live Tail] に移動します。
Live Tail ページが開き、Live Tail セッションが開始されます。プロンプトに、モニタリングするログの _sourceCategory、_sourceHost、_sourceName、_source、または _collector の名前をフィルタとともに入力します。構文
_sourceCategory=name を使用します。 (詳細については、「Live Tail のフィルタ」を参照してください)。
[Run (実行)] をクリックするか、Enter を押します。

[Run (実行)] ボタンが [Running (実行中)] に変わり、ログメッセージが画面に表示されます。

検索ページでの操作

必要に応じて、[Search (検索)] ページの検索ボックスに、ソースカテゴリ、ソースホスト、ソース名、ソース、またはコレクタについての有効なクエリをフィルタとともに入力します。 (Live Tail では、最初のパイプの前の式がすべて取得されますが、検索オペレータはサポートされていません)。
検索ボックスの下にある [Live Tail] をクリックします。
Live Tail ページが開き、Live Tail セッションが開始されます。

ホームページでの操作

[Home (ホーム)] > [Live Tail] に移動します。
Live Tail ページが開き、Live Tail セッションが開始されます。

キーボードショートカット

Live Tail のキーボードショートカットは Alt + L です。
Live Tail ページが開き、Live Tail セッションが開始されます。

Live Tail の一時停止と再開

詳細を確認するには、[Pause (一時停止)] ボタンを使用して Live Tail を一時停止してから、マウスを使用して上下にスクロールします。また、単純に上にスクロールして、一時停止することもできます。Live Tail は実行を続けますが、画面は自動的にスクロールしなくなります。[Pause (一時停止)] ボタンが、矢印の [Jump to Bottom (一番下まで移動)] ボタンに変わります。自動スクロールを再開するには、単純に矢印ボタンをクリックするか、または画面の下部にある [Jump to Bottom (一番下まで移動)] ボタンをクリックします。これにより、ログメッセージの一番下にジャンプします。

Live Tail を一時停止するには、次の手順を実行します。

[Pause (一時停止)] ボタンをクリックするか、単純にマウスを使用して上にスクロールします。
[Pause (一時停止)] ボタンが、矢印の [Jump to Bottom (一番下まで移動)] ボタンに変わります。Live Tail はまだ実行していますが、画面の自動スクロールは停止します。
ログメッセージの詳細を確認するには、マウスを使用して上下にスクロールします。

Live Tail クエリの変更

いつでもクエリを変更すると、[Running (実行中)] ボタンが [Run (実行)] に戻ります。[Run (実行)] をクリックするか Enter キーを押すと、前の Live Tail が停止し、新しいクエリで新しい Live Tail が開始されます。

Live Tail の停止

詳細アイコンをクリックして、[Stop Live Tail (Live Tail の停止)] を選択します。
画面の表示が消えて、Live Tail が停止します。