メインコンテンツまでスキップ
Sumo Logic Japanese

結合結果のタイムスライス

join  オペレーションを使用してデータを収集する場合は、timeslice オペレータでデータをタイムスライスすることができます。しかし、そのためには timeslice オペレーションを joinに実行する必要があります。 

timeslice オペレータは、_messagetime というメタデータ フィールドを使用してログをタイムスライスします。クエリで timeslice オペレータを join の前に指定する必要がある理由は、join オペレーションの実行後には _messagetime フィールドが存在しなくなるためです。

timeslice を join の前に指定すると、join で作成される各テーブルに _timeslice フィールドが含まれるようになります。 

テーブルの _timeslice フィールドは、group by オペレーションで参照することができます。テーブルのフィールド名にはテーブル名が付加されます。

たとえば、テーブル名が errors であれば、フィールド名は errors__timeslice になります。(フィールド名ではアンダースコアが 2 つ使用されますので注意してください。)

クエリの例を示します。

*
| timeslice 1h
| join
(parse "starting stream from * " AS streamId) AS table1,
(parse "starting search from parent stream * " AS streamId) AS table2
on table1.streamId = table2.streamId
| count table1_streamId, table1__timeslice
| formatDate(fromMillis(table1__timeslice ), "MM/dd/yyyy HH:mm:ss z")
astimeslice

  • この記事は役に立ちましたか?