メインコンテンツまでスキップ
Sumo Logic Japanese

compare

compare operator は、Sumo インターフェイスの [Time Compare (時間の比較)] ボタンと一緒に使用することで、適切な構文を自動的に生成して集計クエリに追加できます。詳細については、「Time Compare」を参照してください。「Time Compare」には以下の情報も記載されています。

compare を使用すると次の操作を行うことができます。

  • レイテンシや例外の発生数など、デプロイ前後での Web サイトのパフォーマンス メトリクスを評価できます。  
  • 特定のキーワード (メモリ例外など) をトラッキングして、それらを履歴データと比較して異常な傾向を見つけ出すことで、運用の問題の主原因をトラッキングできます。
  • Web サイトで日ごとまたは週ごとのアクティブ ユーザを比較して、戦略的なビジネス インサイトに役立てることができます。
  • ログイン試行の失敗回数を過去の平均と比較することで、悪意のあるアクティビティや攻撃を特定できます。

compare operator は次のように使用します。

  • 過去の単一期間と比較します。
  • 過去の複数の期間と比較します。
  • 過去の複数の期間における集計と比較します。

デフォルトでは、結果は [Search (検索)] ページの [Aggregates (集計)] タブに表示されます。出力テーブルの各列には、指定されたクエリのいずれかの結果が格納されます。最初の列名には target というキーワードが接尾辞として付加され、この列には現在時刻 (または時間範囲フィールドで指定されている時間範囲) の結果が格納されます。その他の列名には、クエリの時間シフト (時間を遡ってシフトした時間) が接尾辞として付加されます。ここでグラフ タイプを選択することで、結果を視覚的に表示できます。

たとえば、昨日のデータと比較する場合、count operator の後で compare operator を使用すると、集計テーブルの結果には count_targetcount_1d という列名が表示されます。

compare operator は、集計検索において現在の検索結果を過去の期間のデータと比較します。compare operator は、avg、count、pct、sum といった operator を使用する集計検索でのみ使用できます。(詳細については、「グループ」を参照してください。)また、outlier、timeslice、および transpose operator とも併用できます。

構文

単一比較

現在の結果を、過去の単一期間の結果と比較します。比較を行うには、過去に遡る時間間隔を数値と単位で指定します。

  • ... | compare timeshift <number><time granularity>

次のクエリは、現在の結果と昨日の結果を比較します。1d パラメータは、比較用のデータを取得するために遡る時間間隔を指定しています。

... | compare timeshift 1d

この比較は次のような図で表すことができます。

別の例として、次のクエリは現在の結果と先週の結果を比較します。

... | compare timeshift 1w

複数比較

現在の結果を、過去の複数期間の結果と比較します。最初のパラメータは、現在のクエリと、最新の過去の比較ポイントとの時間間隔を指定します。2 番目のパラメータは、作成する比較ポイントの数を指定します。

  • ... | compare timeshift <number><time granularity> <number of timeshifts>

次のクエリは、現在の結果と、過去 1 週間の毎日の結果を比較します。最初のパラメータ (1d) は比較ポイントの間隔を指定します。2 番目のパラメータ (7) は比較ポイント数を指定しています。

... | compare timeshift 1d 7

図で表すと次のようになります。

次のクエリは、現在の結果と、過去 3 週間の同じ曜日の結果を比較します。今日が月曜日であれば、このクエリは現在の結果を過去 3 週間の月曜日の結果と比較します。

... | compare timeshift 1w 3

集計比較

aggregation operator (avg、min、または max) を使用して、過去の複数の期間の結果を集計します。

  • ... | compare timeshift <number><time granularity> <number of shifts <avg/min/max>

次のクエリは、現在の結果を、過去 5 日間の結果の平均と比較します。

... | compare timeshift 1d 5 avg 

図で表すと次のようになります。

他の例:

過去 3 週間の同じ曜日の最大値

... | compare timeshift 1w 3 max

過去 4 回の 6 時間周期の最小値

... | compare timeshift 6h 4 min

高度な関数

複数の時間シフト フレーズをコンマで区切って使用することで、同じ compare operator で複数の異なる比較を行うこともできます。

  • ... | compare <comparison 1>, <comparison 2>, ...

例:

... | compare timeshift 12h, timeshift 1d 3 avg, timeshift 1w

エイリアスを指定することもできます。この場合、生成される列は指定された名前となります。

  • ... | compare <comparison> as <alias>

例:

... | compare timeshift 1d as yesterday, timeshift 1w 4 as last_four_weeks

ルール

  • compare operator は、group by 集計関数 (count、min、max、sum 等) の後で使用しなければなりません。
  • timeslice と compare を一緒に使用する場合は、timeslice ではエイリアスを指定しないでください。

制限事項

  • compare で生成できる追加のクエリは最大 7 件です。時間の比較が行われるたびに追加のクエリが生成されます。複数の比較や集計比較では、複数のクエリが生成されます。たとえば、次のクエリは使用できません。

... | compare timeshift 1d 14

このクエリは、過去 14 日間のデータと比較しています。その結果、14 件のクエリが生成されてしまうため、このクエリは使用できません。 

... | compare timeshift 1d 5 avg, timeshift 1w  4

このクエリは、過去 5 日間のデータおよび過去 4 週間の同じ曜日のデータと比較しています。その結果、9 件のクエリが生成されてしまうため、このクエリは使用できません。 

  • 重複するエイリアスは使用できません。たとえば、次のクエリは使用できません。

... | compare timeshift 1d 7 as last_week, timeshift 1d 7 avg as last_week

  • 時間の比較を使用するリアル タイム クエリでは、時間範囲内に 3 つ以上のタイムスライスが必要です。たとえば、時間範囲が 10 分であれば、タイムスライスが 3 つ以上含まれるように、タイムスライスは 3 分以下でなければなりません。

 

  • この記事は役に立ちましたか?