メインコンテンツまでスキップ
Sumo Logic Japanese

メトリクス Data Volume Index

Sumo Logic では、5 分ごとに JSON 形式のメッセージにメトリクス Data Volume Index が作成されます。このメッセージには、アカウントが取り込んでいるメトリクス データ ポイントの量が含まれます。 

このインデックスを照会することで、次のことができます。

  • Logs-to-Metrics ルールによって生成されたメトリクスを含む、Collector、Source、Source 名、Source Category、Source ホストによって取り込まれた合計のメトリクス データ ボリューム (データ ポイント) を取得します。  
  • Logs-to-Metrics ルールによって生成されたメトリクスの合計のメトリクス データ ボリュームを取得します。

メッセージの形式

各 JSON メッセージには、各 Source データ ポイントの親オブジェクトと、各親のデータ ポイントが列挙された子オブジェクトが入っています。

たとえば、Collector ボリューム データの 1 つのメッセージは、次のようになります。ここで、collector_N  は、Collector 名です。データ ポイントの値は、5 分間の期間に集計されたボリュームです。

{
    "collector_a":{"dataPoints":733296},
    "collector_b":{"dataPoints":4380031},
    "collector_c":{"dataPoints":386255},
    "collector_d":{"dataPoints":10823082},
    .
    .
}

メトリクス Data Volume Index のクエリ

インデックスを照会する場合、クエリ 範囲には以下が含まれている必要があります。

_index=sumologic_volume _sourceCategory=<index_source_category>

ここで、index_source_category は、次の表に示されているいずれかのカテゴリです。

インデックス ログ タイプ インデックス Source Category 説明
Collector collector_metrics_volume この Source Category は、Collector 別にメトリクス ボリュームを照会するために使用します。

結果には、Logs-to-Metrics ルールによって生成されたものを含む、取り込まれたすべてのメトリクスが含まれます。 
Source source_metrics_volume この Source Category は、Source 別にメトリクス ボリュームを照会するために使用します。

結果には、Logs-to-Metrics ルールによって生成されたものを含む、取り込まれたすべてのメトリクスが含まれます。 
SourceName sourcename_metrics_volume この Source Category は、Source 名別にメトリクス ボリュームを照会するために使用します。 

結果には、Logs-to-Metrics ルールによって生成されたものを含む、取り込まれたすべてのメトリクスが含まれます。 
SourceCategory sourcecategory_metrics_volume この Source Category は、Source Category 別にメトリクス ボリュームを照会するために使用します。

結果には、Logs-to-Metrics ルールによって生成されたものを含む、取り込まれたすべてのメトリクスが含まれます。 
SourceHost sourcehost_metrics_volume この Source Category は、Source ホスト別にメトリクス ボリュームを照会するために使用します。 

結果には、Logs-to-Metrics ルールによって生成されたものを含む、取り込まれたすべてのメトリクスが含まれます。 
ログからメトリクス  logstometricsrulename_metrics_volume この Source Category は、Logs-to-Metrics ルール別にメトリクス ボリュームを照会するために使用します。 

結果には、Logs-to-Metrics ルールによって生成された、取り込み済みメトリクスが含まれます。

メトリクス ボリューム クエリの例

Source Category 別のメトリクス ボリューム

このクエリは、Source Category 別にメトリクス ボリュームを返します。

_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| sum(dp) as dp by sourcecategory

次のような結果が返されます。

dp-by-category.png

Collector 別のメトリクス ボリューム

このクエリは、Collector 別にメトリクス ボリュームを返します。

_index=sumologic_volume _sourceCategory=collector_metrics_volume
| parse regex "\"(?<collector>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| sum(dp) as dp by collector

次のような結果が返されます。

dp-by-collector.png

特定の Collector のメトリクス ボリューム

このクエリは、特定の Collector のメトリクス ボリュームを返します。 

_index=sumologic_volume _sourceCategory=collector_metrics_volume
| json "your-collect-name" as collector_json |
json field=collector_json "dataPoints" as dp
| sum(dp) as dp
| fields dp

your-collect-name を Collector の名前に置き換えてください。

Logs-to-Metrics ルール別のデータ ポイント/分 (DPM)

このクエリは、Logs-to-Metrics ルールごとに結果の DPM を返します。

_index=sumologic_volume datapoints _sourceCategory="logstometricsrulename_metrics_volume"
| parse regex "\"(?<logstometricsrulename>[^\"]+)\"\:\{\"dataPoints\"\:(?<datapoints>\d+)\}" multi
| sum(datapoints) as datapoints by logstometricsrulename
| ((queryEndTime() - queryStartTime())/(1000*60)) as duration_in_min
| datapoints / duration_in_min as %"DPM" 
| fields logstometricsrulename,DPM
| sort by DPM

次のような結果が返されます。

dpm-by-l2m-rule.png

メトリクス調整イベントのクエリ

このクエリは、Audit Index を検索して、メトリクス取り込みが調整されたことを示すメッセージがないか確認します。メトリクス調整は、DPM バースト制限を超えたときに実行されます。詳細については、「メトリクスの調整」を参照してください。  

_index=sumologic_audit _sourceCategory=account_management _sourceName=VOLUME_QUOTA "Resource type: MetricIngest"

推奨される検索時間範囲: 過去 1 時間 (-1h)

推奨されるスケジュール頻度: 1 時間ごと

メトリクス取り込み異常値のクエリ 

このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、outlier operator を使用して、DPM のメトリクス取り込みが実行平均より統計的に有意な量だけ大きかったタイムスライスを検索します。 

_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| outlier dp window=5,threshold=3,consecutive=1,direction=+
| where dp_violation > 1

推奨される検索時間範囲: 過去 3.5 時間 (-210m)

推奨されるスケジュール頻度: 1 時間ごと

DPM がプラン制限を連続的に超えていたかを確認するクエリ

このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、DPM のメトリクス取り込みがアカウントの DPM 制限を連続的に超えていた 15 分の期間がないか検査します。

_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| compare with timeshift 15m 8 min
//dpm limit = 3000000 * 15 minutes (size of timeslice bucket)
| 300000 * 15 as dp_limit
| where (dp > dp_limit and dp_120m_min > dp_limit)

推奨される検索タイムフレーム: 過去 15 分間 (-15m)

推奨されるスケジュール頻度: 15 分ごと

DPM がアカウントの制限を超える予測

このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、predict operator を使用して、DPM のメトリクス取り込みがアカウントの現在の DPM 制限をいつ超える可能性があるかを予測します。   

_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| predict dp by 15m model=ar, ar.window=1
//dpm limit = 3000000 * 15 minutes (size of timeslice bucket)
| 300000 * 15 as dp_limit
| where dp_predicted > dp_limit

推奨される検索時間範囲: 過去 24 時間 (-24h)

推奨されるスケジュール頻度: 1 時間ごと

メトリクスが収集されなかった Source Category

このクエリは、過去 60 分間にメトリクスが取り込まれなかったメトリクス Source Category のリストを返します。

_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| first(_messagetime) as MostRecent, sum(dp) as TotalDataPoints by sourcecategory
| formatDate(fromMillis(MostRecent),"yyyy/MM/dd HH:mm:ss") as MostRecentTime 
| toMillis(now()) as currentTime
| formatDate(fromMillis(currentTime),"yyyy/MM/dd HH:mm:ss") as SearchTime
| (currentTime-MostRecent) / 1000 / 60 as mins_since_last_datapoint
| where mins_since_last_datapoint >= 60
| fields -mostrecent, currenttime 
| format ("%s Has not collected data in the past 60 minutes", sourcecategory) as message

例:

no-dpmpng.png

推奨される検索時間範囲: 過去 1 時間 (-1h)

推奨されるスケジュール頻度: 1 時間ごと

  • この記事は役に立ちましたか?