メインコンテンツまでスキップ
Sumo Logic Japanese

JSON ログに対する LogReduce の使用

JSON ログを収集する場合は、未処理のメッセージ全体ではなく、logreduce オペレータを使用して単一の抽出フィールドを分析できます。これにより、LogReduce で JSON ログ内の反復するヘッダとメタデータを考慮しなくて済みます。LogReduce がパターンを検出可能な十分なデータを含んだフィールドを必ず選択してください。短い値の文字列を出力するフィールドでは、有意義な結果が得られない可能性があります。

他の LogReduce の機能はすべて、フィールドに対して実行された LogReduce クエリの結果と共に使用できます。

JSON ログでの LogReduce の実行

  1. logreduce を実行するために使用するフィールドを選択するのは、そのフィールドの抽出が必要になるためです。
  2. [Search (検索)] タブでは、次の構文を使用して検索を実行します。
    * | parse "[pattern]" as jsonobject
    | json field= jsonobject [fieldname]
    | logreduce field=[fieldname]


    例:

    _sourceCategory=stream RawOutputProcessor "\"message\""
    | parse "explainJsonPlan.stream]*" as jsonobject
    | json field=jsonobject "sessionId"
    | logreduce field=sessionId

  3. Enter キーを押すか、[Start (開始)] をクリックします。結果は、[Signatures (シグネチャ)] タブに表示されます。以下の変更が行えます。
  • [Messages (メッセージ)] タブをクリックして、まとめられたすべてのシグネチャの個々のメッセージを参照できます。
  • メッセージをシグネチャにまとめて表示するには、シグネチャのチェック ボックスをオンにして、[View Details (詳細の表示)] をクリックします。新しい [Search (検索)] タブが、メッセージが表示された状態で開きます。新しい [Search (検索)] タブで、複数のボックスをチェックして結果を時間順に表示できます。
  • 結果をエクスポートするには、[Export (エクスポート)] アイコンをクリックします。次に、[Download (ダウンロード)] をクリックしてファイルをコンピュータに保存します。
  • LogCompare の保存済み基準としてクエリを保存するには、[Save Baseline (基準を保存)] アイコンをクリックします。基準の名前を入力して [Save (保存)] をクリックします。
  • この記事は役に立ちましたか?