メインコンテンツまでスキップ
Sumo Logic Japanese

検索のスケジュール

検索を保存する際に、周期的に実行するためのスケジュールとアラートを追加できます。アラート タイプについては、「スケジュール済み検索」を参照してください。 

スケジュール済み検索は、保存済み検索と同時に作成できます。受信時間を使用してスケジュール済み検索を実行する場合は、検索の保存時に受信時間を有効にします。

検索のスケジュール

  1. 検索を保存します。 
  2. この検索のスケジュールを設定するか、または省略可能なアラートを使用して検索を周期的に実行するには、[Schedule this Search (この検索をスケジュールする)] をクリックします。 
  3. 実行頻度を選択します。選択すると、追加の設定が表示されます。
    スケジュール済み検索のカスタム メール
     
    1. Run Frequency (実行頻度)。検索を実行する頻度と、開始時刻を設定します。
      • Never (なし)。このオプションは、一時的にスケジュール済み検索を停止する場合に選択します。
      • Real Time (リアルタイム)。このオプションは、リアルタイム アラートをセットアップする場合に選択します。頻度がリアルタイムの場合は、受信時間は使用できません。
      • Every 15 minutes (15 分ごと)。検索は 15 分ごとに実行されますが、毎時の 00 分、15 分、30 分、45 分に実行されるわけではありません。
      • Hourly (毎時)検索は 1 時間ごとに実行されます。
      • [Every 2, 4, 6, 8, or 12 Hours (2、4、6、8、または 12 時間ごと)]。最初は、選択した時間の正時に実行されます。
      • Daily (毎日): [Day (日)][Weekday (Mon-Fri) (平日 (月~金))]、または [Weekend (Sat-Sun) (週末 (土日))] と時刻を指定することもできます。毎日検索を実行することで、24 時間分のアクティビティを正確にカバーできます。スケジュールはいつでも変更できます。(スケジュール済み検索は、コンピューターで設定されているタイム ゾーンに従って、設定された時刻に実行されます。たとえば、サンフランシスコで午前 7 時 00 分に検索を実行するように設定されている場合の検索時刻は 7:00 AM PST になります。そのコンピューターをニューヨークに持って行き、タイム ゾーンを EST に変更してから新しい検索を午前 7 時 00 分に実行するように設定すると、その検索の実行時刻は 7:00 AM EST になります。これら 2 つの検索は、異なる時刻に実行されることになります。)
      • Weekly (毎週)。検索は毎週実行されます。曜日を指定すると、その曜日の指定時刻に検索が実行されます。 
      • Custom Cron (カスタム Cron)。カスタム CRON 式を入力します。Cron 式の実行頻度は、15 分以上にする必要があります。詳細については、「CRON の例とリファレンス」を参照してください。 
      • タイム ゾーンに 30 分が入る場合、分は UTC 規準とします。たとえば、IST (インド) のタイム ゾーンでは、30 分のオフセットが入ります。そのため、実行開始は正時ではなく正時 + 30 分となります。
    2. Time range for scheduled search (スケジュールされた検索の時間範囲)。クエリを実行する時間範囲を指定します。クエリが生成する結果に影響します。毎日 24 時間分のデータからアラートを生成する場合は [Last 24 Hours (最近 24時間)] を選択します。それ以外の場合は、スケジュール済み検索を実行したい時間範囲を設定します。 もしくは、時間範囲を入力します。たとえば、-15m と入力すると、最近 15 分間に生成されたデータに対して検索が実行されます。
    3. Timezone for scheduled search (スケジュールされた検索のタイムゾーン)。スケジュール済み検索で使用するタイム ゾーンを選択します。スケジュールの時刻は、このタイム ゾーンに基づいて計算されます。このタイム ゾーンは、データのタイム ゾーンとは無関係です。タイム ゾーンを指定しないと、デフォルトとしてブラウザのタイム ゾーンがスケジュール済み検索で使用されます。
    4. Send Notification (通知を送信)。アラートを送信する条件を選択します。
      • [Every time a search is complete (検索が完了するたび)] このオプションを選択すると、検索が実行されるたびに検索結果がメールで送信されます (実行頻度によって、15 分ごと、毎時、または毎日メールが届きます)。
      • If the following condition is met (次の条件が成立した場合)。特定のイベントのみを通知するようにスケジュール済み検索を設定したい場合には、このオプションを選択します。
      • Number of results (結果数)。検索が返す結果の数によってメールを送信します。保存済み検索がログ メッセージを返す場合、指定したメッセージ件数に達するとメールが送信されます。クエリで集計結果を生成する場合、未処理の結果数ではなく、生成された行や集計 (またはグループ) の数によってメールが送信されます。クエリをさらに細かく制御したい場合は、しきい値 (例: | where _count > 30) を検索に設定して、アラート条件を Greater than 0 (0 より大きい) に設定します。これにより、条件が成立した時点でクエリは結果を生成します。
        • Equal to (次に等しい)。検索結果のレコード件数がちょうどこの値になったら通知を送信します。
        • Greater than (次より大きい)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数を超えた時点で通知を送信します。
        • Greater than or equal to (次以上)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを超えた時点で通知を送信します。
        • Fewer than (次未満)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数より少ない場合に通知を送信します。
        • Fewer than or equal to (次以下)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを下回った時点で通知を送信します。
    5. Alert Type (アラート タイプ): 利用できるアラート タイプの詳細については、「スケジュール済み検索」を参照してください。
  • この記事は役に立ちましたか?