メインコンテンツまでスキップ
Sumo Logic Japanese

LogReduce を使用したパターンの検出

  1. 最後の更新
  2. PDFとして保存

LogReduce アルゴリズムでは、ファジー論理と大まかな一致を使用して、類似する構造や共通するテキスト文字列の繰り返しを含んだメッセージがシグネチャでグループ化され、指定したキーワードまたは時間範囲に対する調査用のビューやスナップショットがすばやく提供されます。

[Signatures (シグネチャ)] タブに、LogReduce の結果がシグネチャとして表示されます。シグネチャは、基本的には LogReduce によってグループ化されたログが反映されたものです。シグネチャによってグループ化されたすべてのログが完全に一致するわけではありません。シグネチャ内では、内容が変わるフィールドはワイルドカード プレースホルダ (**********) で表示され、タイムスタンプ (および一部の URL) などの他のフィールドは無視され、$DATE や $URL などのプレースホルダ変数に置き換えられます。

LogReduce アルゴリズムの結果は、より一般的にしたり、より具体的になるように調整したりできます。詳細については、「LogReduce の結果の操作」を参照してください。

LogReduce の検索結果とキーワードの検索結果の一致について

一般的には、これらは一致しません。LogReduce は分析の出発点として利用されることを目的としています。キーワード検索では、特定の Source やエラー メッセージなどの関連するデータを探しますが、LogReduce ではファジー論理を使用して、メッセージに含まれている興味があると推測されるシグネチャが返されます。シグネチャに満足できない場合は、LogReduce に結果をより具体的にする方法を指定できます。シグネチャは、ログのグループ化の例を示したものではありません。シグネチャの内容が興味を引くならば、興味の対象についての LogReduce による推測が反映されたものと考えてください。LogReduce の結果を調べ始めたら、正確な結果をもたらすキーワード クエリを構築することをお勧めします。

LogReduce クエリの実行

LogReduce クエリの実行時には、最初に単純な文字列やメタデータ式で結果をフィルタする必要があります。または、単純にワイルドカード (*) を入力します。妥当な期間、サービス、または地理的領域を指定します。キーワード式に logreduce operator を追加して、結果のログをシグネチャと呼ばれる意味のあるメッセージのグループにまとめます。LogReduce クエリを実行すると、シグネチャが変わることがよくあります。これは、アルゴリズムによって結果のデータがソートされ、メッセージに最適なシグネチャの割り当てを決定するように処理されるためです。

LogReduce クエリを実行するには、次の手順を実行します。

  1. 検索クエリ フィールドに、キーワード文字列またはメタデータ タグ (たとえば _sourceCategory="Western Region") を入力して、最初にメッセージを特定のカテゴリに絞り込むか、単純にワイルドカード (*) を入力します。
  2. [LogReduce] ボタンをクリックします。検索が完了すると、結果が [Signatures (シグネチャ)] 列に表示され、次の操作を実行できます。
  • [Messages (メッセージ)] タブをクリックして、まとめられたすべてのシグネチャの個々のメッセージを参照できます。
  • 使用可能なアクションによってシグネチャを昇格または降格することにより、シグネチャの関連性を評価します。
  • シグネチャを変更するには、鉛筆アイコンをクリックします。
  • グループにまとめることができないシグネチャを分割するには、分割の矢印をクリックします。
  • 結果をエクスポートするには、[Export (エクスポート)] アイコンをクリックします。次に、[Download (ダウンロード)] をクリックしてファイルをコンピュータに保存します。

LogreduceIcons.png

  1. [Promote (昇格)]、[Demote (降格)]、[Split (分割)]、および [Edit (編集)] アイコン。 
  2. [Undo (元に戻す)] と [Redo (やり直し)] アイコン。 
  3. 選択した署名のメッセージを表示するにはクリックします。
  4. LogReduce レポートをダウンロードするにはクリックします。

LogReduce の色分け

シグネチャを昇格すると、シグネチャは黄色で強調表示され、上向きの親指アイコンが青色に変わります。別のシグネチャに操作を行うと、黄色の強調表示が消えます。上向きの親指アイコンは青色のままです。

シグネチャを降格すると、シグネチャは濃い灰色で強調表示され、下向きの親指アイコンが青色に変わります。別のシグネチャに操作を行うと、灰色の強調表示は消えます。下向きの親指アイコンは青色のままです。

シグネチャを編集または分割すると、シグネチャが薄い灰色で強調表示されます。

その他のシグネチャの調査

Sumo Logic で容易にグループ化できないメッセージは、[Others (その他)] という独立したシグネチャに分けられます。このシグネチャには、重要性が低く単純で他に分類できないメッセージが含まれている場合と、意味のある特異なメッセージが含まれている場合があります。[Others (その他)] のシグネチャを完全に理解するためには、人がより詳しく調査する必要があります。

[Others (その他)] のシグネチャのメッセージを調べるには、次の手順を実行します。

  1. チェック ボックスを選択化して、[View Details (詳細を表示)] をクリックします。
  2. Sumo Logic で、シグニチャに対して LogReduce アルゴリズムが実行され details operator が使用されます。これにより、結果のサブシグネチャが表示されます。
  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. 記事のタイプ
    トピック
  2. タグ
    1. LogReduce
    2. others
    3. pattern