メインコンテンツまでスキップ
Sumo Logic Japanese

ログ Data Volume Index

Data Volume Index には、5 分ごとに一連のログ メッセージが入力されます。このメッセージには、アカウントが取り込んでいるデータの量 (単位: バイト数およびメッセージ数) に関する情報が含まれます。データ ボリュームはログが受信された時刻に基づいて計算され、Sumo ではこのタイムスタンプが _receiptTime メタデータ フィールドに保存されます。各ログ メッセージには、次のいずれかのインデックス Source Category に基づく情報が含まれます。

インデックス ログ タイプ インデックス Source Category
Collector collector_volume
Source source_volume
SourceName sourcename_volume
SourceCategory sourcecategory_volume
SourceHost sourcehost_volume
View (ビュー) view_volume

Sumo Logic の [search (検索)] ページを使用して、他のメッセージと同様に Data Volume Index をクエリできます。Data Volume Index 内で作成されたデータを確認するには、検索時、_index メタデータ フィールドに sumologic_volume の値を指定します。詳細については、「検索メタデータ」を参照してください。

既知の問題

_sourceCategory 値に対して検索を実行すると、Scheduled View が空白で表示されるという問題が発生することが分かっています。このため、返される結果の数値が _sourceCategory 値になります。

たとえば、次のように表示されます。

"sizeInBytes":2862,
"count":353325

この場合、_sourceCategory は、2862 として返されます。この値は、Scheduled View からのデフォルト インデックスの実際のサイズです。

Data Volume Index のクエリ

  1. [Search] ページにクエリ _index=sumologic_volume を入力します。 
  2. 確認するデータの時間範囲を選択します。
  3. [Start (開始)] をクリックして、検索を実行します。返された結果は、[Messages (メッセージ)] タブに表示されます。

検索結果を絞り込み、特定のボリューム カテゴリの Data Volume Index データのみが表示されるようにするには、_sourceCategory メタデータと、前述の表にあるインデックス Source Category のいずれかを使用して、インデックス Source Category を指定します。例:

_index=sumologic_volume AND _sourceCategory=collector_volume

Data Volume Index のメッセージの形式

Data Volume Index のメッセージは、各 Source データ ポイントの親オブジェクトと、各親のメッセージのサイズおよび数が列挙された子オブジェクトを含む JSON 形式のメッセージです。

たとえば、"Collector" ボリューム データの 1 つのメッセージは、次のようになります。ここで、collector_X は、Collector 名を示しています。sizeInBytescount の値は、その 5 分間の期間に集計されたボリュームです。

{ "collector_a":{"sizeInBytes":733296,"count":1646}, "collector_b":{"sizeInBytes":4380031,"count":12105}, "collector_c":{"sizeInBytes":386255,"count":843}, "collector_d":{"sizeInBytes":10823082,"count":23923}, . . }

各カテゴリのボリューム

このクエリ例では、各 Source Category のボリュームが返されます。

_index=sumologic_volume _sourceCategory=sourcecategory_volume 
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"sizeInBytes\"\:(?<bytes>\d+),\"count\"\:(?<count>\d+)\}" multi 
| bytes/1024/1024/1024 as gbytes 
| sum(gbytes) as gbytes by sourcecategory

結果は次のようになります。

各 Collector のボリューム

このクエリ例では、各 Collector のボリュームが返されます。

_index=sumologic_volume _sourceCategory=collector_volume 
| parse regex "\"(?<collector>(?:[^\"]+)|(?:\"\"))\"\:\{\"sizeInBytes\"\:(?<bytes>\d+),\"count\"\:(?<count>\d+)\}" multi 
| bytes/1024/1024/1024 as gbytes 
| sum(gbytes) as gbytes by collector

特定の Source のボリューム

次のクエリでは、特定の Source のメッセージ ボリュームが返されます。JSON 操作内に Source 名を指定すると、その Source の子オブジェクトを取得できます。

_index=sumologic_volume _sourceCategory=source_volume 
| json "<my_source_name>" as source
 
| json field=source "sizeInBytes", "count" 
| sizeinbytes/1024/1024/1024 as gbytes

特定の Collector のボリューム

次のクエリでは、特定の Collector のメッセージ ボリュームが返されます。JSON 操作内に Collector 名を指定すると、その Collector の子オブジェクトを取得できます。

_index=sumologic_volume _sourceCategory=collector_volume 
| json "<my_collector_name>" as collector_json 
| json field=collector_json "sizeInBytes", "count" as bytes, count 
| sum(bytes) as bytes 
| bytes/1024/1024/1024 as gbytes 
| fields gbytes

各 Source ホストのボリューム

次のクエリでは、各 Source ホストのメッセージ ボリュームが返されます。

_index=sumologic_volume 
| where _sourceCategory="sourcehost_volume" 
| parse regex "(?<sourcehost>\"[^\"]+\")\:\{\"sizeInBytes\"\:(?<bytes>\d+),\"count\"\:(?<count>\d+)\}" multi 
| bytes/1024/1024/1024 as gbytes 
| sum(gbytes) as gbytes by sourcehost 
| sort by gbytes 
| round(gbytes)

デフォルト インデックスのボリューム

次のクエリでは、デフォルト インデックスのメッセージ ボリュームが返されます。 

_index=sumologic_volume|where _sourceCategory="view_volume" 
| parse regex "(?<view_name>\"[^\"]+\"|\"\")\:\{\"sizeInBytes\"\:(?<bytes>\d+),\"count\"\:(?<count>\d+)\}" multi 
| where view_name = "\"Default Index\"" 
| bytes/1024/1024/1024 as gbytes 
| sum(gbytes) as gbytes by view_name 
| sort by view_name desc 

結果は次のようになります。

データ ボリューム用の Sumo Logic アプリケーション

Sumo Logic では、Data Volume Index を利用して、アカウントのボリューム使用率を一目で確認できるようにしたアプリケーションをご用意しています。詳細については、「データ ボリューム アプリケーション」を参照してください。

  • この記事は役に立ちましたか?