パーティションの追加
インデックスにパーティションを作成するには、クエリの一種であるルーティング式を作成します。パーティションのルーティング式では、最初のパイプまでの正規表現検索クエリに何らかの値を、つまり検索制約を入れることができます。パーティションには英数字で名前を指定する必要があります。特殊文字は使用できません。クエリにはワイルドカードを使用できますが、パースや検索のオペレータを含めることはできません。
あまり一般的でない使用事例に関するパーティションを作成します。その目的は、インデックス内のパーティションを使用して、検索を制限し安全を確保することと、検索パフォーマンスを向上させることです。非常に一般的な使用事例に関するパーティションを作成した場合でもパーティションは機能しますが、パフォーマンスの向上を最大限に活用できません。
ベスト プラクティス
パーティションを設計する際は、次の点に留意してください。
- 変更される可能性のあるクエリは使用しない。パーティションの使用から利益を得るには、長期のメッセージ編成でパーティションを使用する必要があります。
- クエリはで極力明確にする。クエリを明確にすることで、パーティション内のデータ量が減り、検索パフォーマンスが向上します。
- クエリの柔軟性を保つ。
sourceCategory=*Apache*などの柔軟なクエリを使用すると、クエリを分割しなくてもメタデータを調整できます。 - 最も頻繁に使用されるデータをグループ化する。たとえば、Web データ、セキュリティ データ、エラーなどのカテゴリでパーティションを作成します。
- 使用するデータをチーム別にグループ化します。パーティションは、組織内のロールおよびチーム別にメッセージを編成する優れた方法です。
- パーティション内に過剰な量のデータを含めない。データの 2% ~ 20 % をパーティションに送信します。インデックス内のデータの 90% をパーティションに含めると、検索パフォーマンスが向上しなくなります。
- 重複するパーティションを作成しない。複数のパーティションがある場合、重複したルーティング式を作成すると、メッセージが重複する可能性があります。たとえば、次のパーティションがある場合、
_sourceCategory=prod/Apacheのメッセージは両方のパーティションに格納されるため、そのメッセージは重複することになります。
Partition1:_sourceCategory=prod
Partition2:_sourceCategory=*/Apache
パーティションの作成
- Sumo Logic で、[Manage Data (データの管理)] > [Settings (設定)] > [Partitions (パーティション)] を選択します。
- [Add (追加)] ボタンをクリックします。
- [Create a Partition (パーティションの追加)] ダイアログ ボックスで、次を入力します。
- Partition Name (パーティション名)。クエリのデータを検索する際に使用する名前です。説明的で覚えやすい名前を使用することが重要です。名前は 255 文字以内の英数字で作成できます。使用可能な特殊文字はアンダースコア (_) のみです。
- Routing Expression (ルーティング式)。パーティションでインデックス化したいデータに対するルーティング クエリを入力します。このクエリは、Source Category (ソース カテゴリ) などのメタデータ フィールドと、Field Extraction Rules (フィールド抽出ルール) で抽出されるフィールドで構成できます。ルーティング クエリにはワイルドカードを使用できますが、パースや検索のオペレータを含めることはできません。また空の文字列はサポートされていません。
- [Create (作成)] をクリックします。
新しいパーティションは、リストに追加され、データが作成されるとすぐにデータのインデックス化を開始します。インデックス化が完了するには数時間かかります。大量のデータのインデックス化を選択した場合は、もう少し時間がかかる可能性があります。