メインコンテンツまでスキップ
Sumo Logic Japanese

LogCompare について

LogCompare により、ある時点のログ メッセージのセクションを別の時点の同じセクションと比較し、パターンの変化を表示できます。たとえば、LogCompare を使用して最近のソフトウェアのデプロイで何かが破損したかどうかを判断できます。または、障害の発生前や発生中のログ ストリームを通常の期間と比較して違いを判断するのに役立ちます。LogCompare は、セキュリティ イベントの原因を特定するのにも役立ちます。

LogCompare を使用するには、集計されていない結果を指定して検索クエリを実行し、[Messages (メッセージ)] タブの [LogCompare] ボタンをクリックします。これにより、現在のクエリ結果と過去 24 時間の同じクエリの結果を自動的に比較して、変更内容を表示します。

これを実行するために、LogCompare によって基準クエリが作成され、logcompare operator を現在の結果に適用することによって、新しい対象クエリと比較されます。たとえば、デフォルトの時間シフトの 24 時間で LogCompare を実行することによって、前日の同時刻と比較した場合のログ メッセージの主な変化を特定できます。

LogCompare.png

LogCompare によって基準クエリと対象クエリとの間の差異が報告されるため、ログ メッセージのパターンの変化を経時的に確認できます。このようにして、今日のログメッセージを昨日の同じ時間範囲と比較して、ログ メッセージのグループの変化の割合や、新しく出現したグループ、さらに消えてしまったグループなどを確認できます。

LogCompareCount.png

LogCompare ボタンの右側にある矢印を使用して、メニューから [7 Days (7 日)] などの別の時間シフトを選択することもできます。7 日のシフトは、ログ ストリームに週単位の傾向がある場合に役立ちます。

Menu.png

または、[Custom (カスタム)] によって任意の LogCompare 時間シフトを作成することもできます。これにより、単一ノードの動作をグループやクラスタと比較したり、あるグループと別のグループで比較したりすることができます。[Custom LogCompare (カスタム LogCompare)] ダイアログでは、クエリ文字列やその時間範囲など、対象クエリと基準クエリのパラメータを指定できます。基準クエリは、対象クエリで使用される時間範囲またはキーワードから独立しています。

検索用に選択した時間範囲によっては、複数の処理を実行するために LogCompare の処理が完了までに長い時間がかかる場合があります。このため、実用的な範囲でできるだけ短い時間範囲を選択することをお勧めします。

  • この記事は役に立ちましたか?