フィールド抽出
フィールド抽出により、メッセージが取り込まれた時点のログ メッセージからフィールドを parse できるため、クエリ レベルでフィールドを parse する必要がなくなります。FER (Field Extraction Rules) を使用することで、事前に parse されたフィールドを、アドホック検索、Scheduled Search、リアルタイム アラート、そしてダッシュボードで使用できます。さらに、FER (Field Extraction Rules) により、フィールド名と検索を標準化し、検索構文と範囲の定義を簡素化して、検索パフォーマンスを高めることができます。
フィールドは、FER を作成した時点以降から抽出されます。そのため、早期に FER を設定しておくことで、この自動 parse メカニズムの利点を活用できます。
フィールド名についてのベスト プラクティスについては、「フィールドの命名規則」を参照してください。
[Manage Data (データの管理)] > [Settings (設定)] > [FER (Field Extraction Rules)] を選択すると、以下の情報が表示されます。
- FER (Field Extraction Rules) のステータス (有効または無効のいずれか)
- ルール名
- ルールの範囲
- ルールのフィールド
- ユーザによる作成日付と時刻
- ユーザによる最終変更日付と時刻
[Manage Data (データの管理)] > [Settings (設定)] > [FER (Field Extraction Rules)] ページでは、以下の操作が行えます。
- FER (Field Extraction Rules) の作成
- FER (Field Extraction Rules) の検索
- parse されたフィールドに対する検索の実行
- FER (Field Extraction Rules) の編集
- FER (Field Extraction Rules) の削除
- FER (Field Extraction Rules) の詳細表示
- FER (Field Extraction Rules) の無効化