アナリティクス層

最後の更新
PDFとして保存

アナリティクス層は、データにアクセスする頻度、すなわち、継続または高頻度に応じてデータセットを指定する機能です。

アナリティクス層には有用な柔軟性があり、分析をデータの値に合わせることができます。継続層や高頻度層を使用することにより、ユースケースやアナリティクスのニーズごとにデータを適切にセグメント化できるため、アナリティクスへの投資を最小限に抑えることができます。

アナリティクス層の種類

Sumo Logic のそれぞれのアナリティクス層は、異なるユースケースをサポートしており、独自の機能セットを備えています。

Continuous (継続) アナリティクスでは、モニタ、ダッシュボード、およびアラートが必要な、ミッションクリティカルデータセットが分析されます。このデータセットには、運用、セキュリティ、およびコンプライアンスのデータなどあり、これらのデータは IT アプリケーションとインフラストラクチャのリアルタイムで継続的な健全性とセキュリティを維持するために使用されます。
Frequent (高頻度) アナリティクスは、予備的なデータセット向けに最適化されており、主にデータの検索と視覚化のみに焦点が当てられています。このデータセットの例には、デバッグ/情報ログ、カスタマーサポートのユースケース、製品分析データなどがあります。

使用例	Continuous (継続)	Frequent (高頻度)
モニタリング	はい	—
トラブルシューティング	はい	—
セキュリティ分析	はい	—
高頻度のアドホック分析	はい	はい
低頻度のアドホック分析	はい	はい
長期的な保存	—	—
保持期間	数週間	数か月
パフォーマンス	最大限の最適化	ベスト・エフォート

アナリティクス層の割り当て

データはすべて、最初に [General Index (一般インデックス)] に取り込まれます。これはデフォルトでは [Continuous (継続)] タイプです。データが取り込まれれば、使用目的に応じて、データの個々のサブセットを Continuous (継続) または Frequent (高頻度) の異なるアナリティクス層に割り当てることができます。

アナリティクス層を計画するときは、次のガイドラインを考慮することが重要になります。

[General Index (一般インデックス)] では変更ができず、常に Continuous (継続) になります。
データを割り当てる階層によって、後述の表で概説されているように、検索および分析でデータを使用するための機能が定義されます。

それぞれの階層で取り込むことができるデータの量は、Sumo のアカウントプランで定義されています。詳細については、Sumo のアカウント担当者までお問い合わせください。

パーティションの追加およびアナリティクス層へのデータの割り当て

パーティションは、メッセージをリアルタイムに取り込むもので、集計データで埋め戻しを行わない点が Scheduled View と異なります。パーティションは、作成された時点から非集計インデックスの構築を開始し、作成された時点以降のデータのみをインデックス化します。

アナリティクス層にパーティションを追加するには、次の手順を実行します。

Sumo の左側のナビゲーションバーで、[Manage Data (データの管理)] > [Settings (設定)] に移動し、次に [Partitions (パーティション)] タブを選択します。

一番右にあるプラス記号 (+) をクリックします。[Create Partition (パーティションの作成)] ダイアログが表示されます。

[Partition Name (パーティション名)]、[Routing Expression (ルーティング式)]、および [Retention Period (保存期間)] を入力するか、[Apply the retention period of the General Index (一般的なインデックスの保持期間の適用)] をオンにします。次の表の説明のとおり、ルーティングルールはアナリティクス層のタイプごとに異なります。

	Continuous (継続)	Frequent (高頻度)
ルーティング	SourceCategory、メタデータ、およびキーワード	SourceCategory、メタデータ、およびキーワード
複数層での同じ SourceCategory	Continuous (継続) および Frequent (高頻度)	Continuous (継続) および Frequent (高頻度)

次のアナリティクス層を選択します。

Continuous (継続): 準備をしなくても、Continuous (継続) 層のデータをリアルタイムで検索および分析できます。
Frequent (高頻度): Frequent (高頻度) 層のデータに対してのみインタラクティブクエリを実行できます。詳細については、「アナリティクス層の検索」を参照してください。

データをクラウド環境に転送するには、[Enable Data Forwarding (データ転送を有効にする)] を選択し、表示されるオプションに対して必要な情報を指定します。

[Create (作成)] をクリックします。

アナリティクス層の検索

データを検索する方法は、アナリティクス層 (パーティション) によって異なります。次の表の説明を参照してください。また、「高頻度データの検索」について理解する必要があります。

権限	継続アナリティクス	高頻度アナリティクス
一元化された安全なマルチテナントクラウドネイティブプラットフォーム	はい	はい
可用性ゾーン間でのデータ複製、データ暗号化	はい	はい
インタラクティブクエリ	はいパーティションは指定することも、指定しないことも可能	はいパーティションを指定する必要がある
FER (Field Extraction Rules)	はい	はい
ログからメトリクス	はい	はい
Data Forwarding	はい	はい
Live Tail	はい	はい
ダッシュボード	はい	不可
Scheduled Search	はい	不可
Scheduled View	はい	不可
アラートとビュー	はい	不可
API クエリ	はい	不可

高頻度データの検索

高頻度アナリティクスパーティションでデータを検索する場合は、そのパーティションを明示的に参照する必要があります。たとえばクエリ内のエラーを検索するには、名前に基づいてパーティションを参照する必要があります。

_index=my_frequent_partition_name debug

一般的なエラーメッセージ

このセクションでは、アナリティクス層の最も一般的なエラーメッセージについて説明します。

高頻度アナリティクスパーティションのダッシュボードにパネルを追加しようとすると、次のエラーが表示されます。

高頻度アナリティクスパーティションに Scheduled View または Scheduled Search を実行しようとすると、許可されていないことを示すエラーメッセージが表示されます。