メインコンテンツまでスキップ
Sumo Logic Japanese

CSV 形式ログのパース

CSV オペレータで CSV (コンマ区切り値) 形式のログ エントリをパースできます。デフォルトの区切り文字は、コンマです。

たとえば、内部 IP アドレスをデータ センターの場所と名前にマップした .csv ファイルがあるとします。 .csv ファイルを Sumo Logic に取り込めば、CSV オペレータを使用してファイルのフィールドをパースして、ルックアップ テーブルに入力できます。そうすれば、Geo Lookup オペレータを使用し、データ センターの IP アドレスをマップして、それらを世界地図に表示できます。

CSV ファイル以外 (スペース区切りファイルなど) の区切りログ エントリをパースするには、Split オペレータを使用します。

構文

インデックスを使用してフィールドを抽出:

  • csv <field> extract 1 as <A>, 2 as <B>, 5 as <E>, 6 as <F>

位置を指定してフィールドを抽出:

  • csv <field> extract <A>, <B>, _, _, <E>, <F> 

エスケープ文字と引用文字を指定:

  • csv <field> escape='\', quote=''' extract <A>, <B>, _, _, <E>, <F>

ルール

  • デフォルトでは、CSV オペレータは区切り文字にコンマ (,)、エスケープ文字にバックスラッシュ (\)、引用文字に引用符 (“) を使用します。
  • 抽出するフィールドは必須です。元のメッセージから抽出するには、_raw メタデータ フィールドを使用します。

コンマ区切りフィールドをパースする

CSV ファイルのコンマ区切りフィールドをパースするには、次のクエリを使用します。

_sourceCategory=csv
csv _raw extract 1 as user2, 2 as id, 3 as name

結果は次のようになります。

ストリーム クエリをパースして検索語を抽出する

"Starting stream query"
| parse "query=[*], queryId" as query
| csv query extract searchTerms, op1, op2, op3

結果は次のようになります。

CSV ファイルのパースについては、Lookup オペレータと Save オペレータを参照してください。

  • この記事は役に立ちましたか?