メインコンテンツまでスキップ
Sumo Logic Japanese

Scheduled View

3 (1).png

Scheduled View は、事前収集済みインデックスとして機能し、データの小規模な履歴サブセットの検索プロセスを高速化します。

  • アカウントあたりの Scheduled View の最大数は 500 です。
  • Scheduled View のクエリは毎分 1 回実行されます。 
  • クエリの実行前にデータが事前に集計されているため、Scheduled View に対して実行されるクエリは非常に迅速に検索結果を返すことができます。 
  • クエリ用の Scheduled View を作成すると、検索時にスキャンされるデータ量が大幅に減少します。
  • Scheduled View には、保持期間の最初 (60 日前や 90 日前) からの履歴データが含まれます。履歴データが含まれるため、Scheduled View では長期間の傾向を分析することができます。
  • Scheduled View は、Scheduled Search、ダッシュボード、そしてアドホック検索で使用できます。ダッシュボードに大量のデータを取り込んでも、パフォーマンスは低下しません。 
  • Scheduled View は InternalCollector インデックスに割り当てられます。
  • Scheduled View は、データが非集計未処理結果である場合にのみ取り込みボリュームに計上されます。集計結果の Scheduled View は、取り込みボリュームには計上されません。
  • Scheduled View を設定できるのはアカウント管理者と「インデックス管理」権限を持つユーザだけですが、Scheduled View に対する検索は組織内のすべてのユーザが実行できます。他のユーザによる Scheduled View へのデータ アクセスは、ユーザのロールに関連付けられている検索フィルタによって制御され、自分のロールでアクセスできるデータのみが表示されます。詳細については、「ロールの検索フィルタの作成」を参照してください。

組織での Scheduled View の使い方

Web アクセスの傾向。Scheduled View を作成することで、サイトに関連したログを切り分けることができるため、Web トラフィック パターンのレポートが容易になります。

アプリケーションの利用状況メトリクス。Scheduled View は、1 つまたは複数のアプリケーションを経時的にトラッキングするのに役立ちます。デプロイによっては、各アプリケーションに対して Scheduled View を構築できる場合もあります。

脅威の分析。Scheduled View はあらゆる種類のデータをインデックス化するため、たとえば、ファイアウォール ログ用の Scheduled View などを作成できます。この Scheduled View を活用することで、脅威タイプや脅威レベルの経時的変化を見たり、ハイリスク エリアから攻撃を仕掛けてきている IP を確認したりできます。

ユーザの行動。Scheduled View によってデプロイ全体でユーザ ID 別のログインを parse して、監査関連の質問に対してすぐに答えを用意することができます。このデータ セットでは、たとえば過去 60 日間 (または保持期間全体) でのユーザのログイン状況など、ハイレベルな調査でもクエリ結果を迅速に用意できます。

  • この記事は役に立ちましたか?