LogCompare の実行

時間設定された LogCompare の実行

1. 検索するキーワードを入力して、Enter を押すか、[Start (開始)] を選択します。例: error
2. 検索の時間範囲を選択します。この例では [Last Minute (過去 1 分間)] が選択されています。
3. [Messages (メッセージ)] タブに最初の結果が表示されたら、[LogCompare] をクリックしてクエリをすぐに実行するか、メニューを使用して別の時間シフトを選択します。
4. logcompare オペレータと timeshift -24h がクエリに追加されます。次の例を参照してください。 

   error | logcompare timeshift -24h

5. 結果は、[Signatures (シグネチャ)] タブに表示されます。

カスタム LogCompare の実行

1. 検索するキーワードを入力して、Enter を押すか、[Start (開始)] を選択します。例: 
   
   _sourceCategory=stream
    
2. 時間範囲を選択します。この例では [Last Minute (過去 1 分間)] が選択されています。
3. [Messages (メッセージ)] タブに最初の結果が表示されたら、[LogCompare] ボタンの横にある矢印をクリックするか、メニューから [Custom (カスタム)] を選択します。
   
4. [Custom LogCompare (カスタム LogCompare)] ダイアログで、次の編集を行うことができます。

• Baseline Query (基準クエリ)。元のクエリ。
• Time Shift (時間シフト)。これは Baseline Query (基準クエリ) の時間シフトであり、Baseline Query (基準クエリ) を実行するタイミングを制御します。時間シフトが -2d の場合は、2 日前の正確な時間範囲 (このクエリでは 1 分) の期間について実行されます。
• Target Query (対象クエリ)。対象クエリは、元は基準クエリと同じものですが、編集して新しい対象と比較できます。ここでは、_sourceCategory=stream と比較するために
  _sourceCategory=analysis が追加されています。
• Time Range (時間範囲)。時間範囲は、対象クエリと基準クエリの両方に関係します。[Search (検索)] ページの時間範囲と同様に、事前設定済み時間範囲、相対時間範囲、または絶対時間範囲を入力できます。時間範囲は、時間シフトの (start_time = now - timeshift) または (start_time + end_time) によって指定できます。
  • 対象の時間範囲では、end_time が指定されていない場合は、暗黙的に now が設定されます。
  • 基準の時間範囲では、end_time が指定されていない場合、暗黙的に (end_time = start_time + range_length) のように設定されます。(range_length = end_time - start_time) には、対象の時間が使用されます。

5. [Run (実行)] をクリックします。
6. logcompare、timeshift、および baseline オペレータがクエリに追加されます。 
   
   _sourceCategory=analysis | logcompare timeshift -2d baseline (_sourceCategory=stream)
    
7. 結果は、[Signatures (シグネチャ)] タブに表示されます。