メインコンテンツまでスキップ
Sumo Logic Japanese

LogCompare の構文

LogCompare オペレータを使用することで 2 つのログの集合である、基準ログ (過去のデータ) と対象ログ (現在のデータ) を比較できます。LogCompare の処理を実行するには、[Messages (メッセージ)] タブの [LogCompare] ボタンを使用して、適切な形式のクエリを生成します。

ここでは、LogCompare オペレータの構文について説明します。構文の例については、「LogCompare の構文」を参照してください。  

Compare と LogCompare 

compare と logcompare オペレータは構文と機能がよく似ていますが、異なるタイプのデータを処理します。

  • compare は、集計された数値データに使用します (group by クエリや、count、sum、avg などの集計オペレータを使用したクエリからの結果の分析など)。
  • logcompare はログ シグネチャのカウントに使用します (最初のパイプの直後で使用します)。

LogCompare の構文

  • ... | logcompare timeshift -24h
    クエリの結果と 24 時間シフトした時間範囲に対する同じクエリの結果を比較します。
     
  • ... | logcompare timeshift -1d
    クエリの結果と 1 日シフトした時間範囲に対する同じクエリの結果を比較します。 (前の例と同じ)。
     
  • ... | logcompare start_time 2016-01-06T12:00:00-08:00 end_time 2016-01-07T12:00:00-08:00
    クエリの結果と start_time および end_time で指定された時間範囲に対する同じクエリの結果を比較します。これには、有効な時間範囲を使用する必要があります。 
     
  • _sourceHost=cluster-1| logcompare timeshift -0s baseline(_sourceHost=cluster-2)
    同じ期間について、2 つの異なるホスト (cluster-1 と cluster-2) のログを比較します。

新しい非表示のフィールド

これらのフィールドは、logcompare オペレータによって生成され、次の logcompare オペレータ クエリ文字列で使用できます。

次の表に、これらのフィールドの説明を示します。

フィールド 説明

_count

このクエリに対する、このクラスタに属するログ メッセージの数。

_deltaPercentage

シグネチャの変化率。"(targetPercentage - baselinePercentage) / baselinePercentage" として計算されます。この式で、baselinePercentage は、シグネチャに一致するログの数を基準内のログの総数で割ったものです。targetPercentage についても同様です。これは、新しいシグネチャの場合は無限大になります。

_anomalyScore

この値は、対称化された Kullback-Leibler ダイバージェンス スコアを使用して計算されます。

_isNew

値はブール値です。クラスタが新規の場合は 1、それ以外の場合は 0 です。

非表示のフィールドの使用

logcompare オペレータを使用すると、結果を絞り込むために使用できる新しい非表示フィールドが作成されます。このフィールドの使用方法は次のとおりです。

基準クエリに存在しないシグネチャのみの表示:

たとえば、次のクエリを実行できます。

error | logcompare timeshift -1d | where (_isNew)

クエリ結果は、_isNew フィールドを使用した場合のみ、新しいクラスタに制限されます。

対象クエリに存在しないシグネチャのみの表示:

この例では、logcompare オペレータによって、何もメッセージを含んでいないクラスタのみが表示されます。

error | logcompare timeshift -1d | where _count ==0

  • この記事は役に立ちましたか?