フィールド抽出

最後の更新
PDFとして保存

フィールド抽出により、メッセージが取り込まれた時点のログメッセージからフィールドを parse できるため、クエリレベルでフィールドを parse する必要がなくなります。FER (Field Extraction Rules) を使用することで、事前に parse されたフィールドを、アドホック検索、Scheduled Search、リアルタイムアラート、そしてダッシュボードで使用できます。さらに、FER (Field Extraction Rules) により、フィールド名と検索を標準化し、検索構文と範囲の定義を簡素化して、検索パフォーマンスを高めることができます。

フィールドは、FER を作成した時点以降から抽出されます。そのため、早期に FER を設定しておくことで、この自動 parse メカニズムの利点を活用できます。

フィールド名についてのベストプラクティスについては、「フィールドの命名規則」を参照してください。

Settings page july 2019.png

[Manage Data (データの管理)] > [Settings (設定)] > [FER (Field Extraction Rules)] を選択すると、以下の情報が表示されます。

FER (Field Extraction Rules) のステータス (有効または無効のいずれか)
ルール名
ルールの範囲
ルールのフィールド
ユーザによる作成日付と時刻
ユーザによる最終変更日付と時刻

[Manage Data (データの管理)] > [Settings (設定)] > [FER (Field Extraction Rules)] ページでは、以下の操作が行えます。

FER (Field Extraction Rules) の作成
FER (Field Extraction Rules) の検索
parse されたフィールドに対する検索の実行
FER (Field Extraction Rules) の編集
FER (Field Extraction Rules) の削除
FER (Field Extraction Rules) の詳細表示
FER (Field Extraction Rules) の無効化