メインコンテンツまでスキップ
Sumo Logic Japanese

ログからメトリクス

ログ データからメトリクスを抽出または作成するためのルールをセットアップします。

Sumo のログからメトリクス機能により、ログ データからメトリクスを抽出または作成できます。

  • ログに埋め込まれたメトリクスを抽出できます。たとえば、ログに待機時間、送信されたバイト数、リクエスト時間などの数値が含まれている場合があります。1 つのログから複数のメトリクスを抽出できます。  
  • ログをメトリクスとしてカウントできます。たとえば、404 ステータス コードが含まれるログ メッセージの数をカウントすることもできます。  

上記の方法は、組み合わせて使用できます。つまり、ログからメトリクスを抽出し、それらをカウントして新しいメトリクスを作成することもできます。

ログ データから抽出または作成したメトリクスは、Sumo で他のメトリクスと同様に使用できます。それらのメトリクスに対して、ダッシュボード内のメトリクス クエリを含むメトリクス クエリを実行したり、モニタを設定したりすることが可能です。

ログからメトリクスに関するベスト プラクティスと制限

このセクションでは、ログからメトリクス ルールに適用されるベスト プラクティスと制限について説明します。

集計やタイムスライスはサポートされない

ログからメトリクス ルールでは、parse 式で aggregation operator とタイムスライスはサポートされません。

メトリクス カーディナリティの管理

含まれる一意のグループ化が多すぎるメトリクスや、セッション ID のように無制限に増大するディメンションが含まれるメトリクスを抽出することは避けてください。たとえば、10,000 人の顧客、4 つの要求タイプ、および 2 つのステータス コードに対する API 呼び出しをトラッキングしようとする場合、メトリクス ルールでは、可能性として、10,000 x 4 x 2 = 80,000 個の一意の時系列を作成できます (顧客あたりのトラッキングするメトリクスは 8 つ。各要求タイプの成功/失敗の数を示します)。 

ログからメトリクス ルールを作成したときは、そのルールをテストして、過去 60 分間では何個のメトリクスが作成されていただろうかを確認してください。

長いディメンション値

ログからメトリクス ルールでは 250 文字を超えるメトリクス ディメンション値は作成されません。ルールが 250 文字を超えるメトリクス ディメンション値を抽出する場合、メトリクスは作成されません。このようなメッセージは、Sumo Audit Index に書き込まれます。

Extracted dimension values for keys <dimensions> have more than 250 characters for logs-to-metrics rule <rule-name>

メトリクス ボリューム制限とルールのブラックリスト登録 

Sumo では、作成される一意の時系列が 20,000 個を超える、ログからメトリクス ルールは保存できません。 

ログからメトリクス ルールで返される一意の時系列のボリュームが時間とともに増加し、100,000 個を超えた場合、Sumo はルールを無効にします。この場合、Sumo では次のようなメッセージが Audit Index に書き込まれます。

User 0000000000000475 This metrics source has sent too many unique time series and has been temporarily disabled. The data sent while this source is disabled cannot be recovered. Details: type=LogsToMetrics logsToMetricsRuleId=4566, ruleName=michal_test_blacklisitng_2, ruleScope=_sourceCategory=metrics "[explainJsonPlan.metrics]" ruleParseExpression=parse "\"queryRangeEnd: \"*\"," as end, created by=Michal Math

Sumo でルールがブラックリストに登録されると、ルールの作成者にメール通知が送信されます。

FER (Field Extraction Rules) はサポートされない

ログからメトリクスは、FER (Field Extraction Rules) から作成されたフィールドでは機能しません。ログからメトリクスは、取り込みパイプライン内でより早く実行されるためです。範囲または parse 式で FER からのフィールドを使用する場合は、それらのフィールドを再 parse する必要があります。

ログからメトリクスは遡及的でない

ログからメトリクス ルールが保存されると、Sumo は、メトリクスの作成を開始します。Sumo は、以前取り込まれたログには、ルールを適用しません。 

サポート対象の parse operator

すべての Sumo parse operator がサポートされるわけではありません。詳細については、「ログからメトリクス ルールの作成」を参照してください。

Scheduled View とインデックスはサポートされない

ログからメトリクス ルールの範囲では、Scheduled View やインデックスは使用できません。

管理者以外のユーザがログからメトリクス ルールを作成できるようにする

デフォルトでは、ログからメトリクス ルールを作成できるのは、Sumo 管理者に限られています。他のユーザがこの機能を使用できるようにするには、[Manage Logs-to-Metrics (ログからメトリクスの管理)] 機能を備えたロールを作成するか、この機能を既存のロールに追加します。「新規ロールの作成」または「ロールの編集」を参照してください。 

ログからメトリクス ルールの作成

このセクションでは、ログからメトリクス ルールの作成方法について説明します。

  1. Sumo Web アプリケーションで [Manage Data (データの管理)] > [Settings (設定)] > [Logs-to-Metrics (ログからメトリクス)] を選択します。このページには、既存のログからメトリクス ルールのリストが表示されます。

    logs-to-metrics-rules.png
  2. 新しいルールを作成するには、ページ右上にあるプラス記号 (+) をクリックします。[Add Logs-to-Metrics Rule (ログからメトリクス ルールの追加)] ページが表示されます。

    add-logs-to-metrics-rules.png
  3. [Parse Log Messages (ログ メッセージの parse)] セクションでは、次の作業を行います。
    1. Rule Name (ルール名): ルール名を指定します。
    2. Scope (範囲): メトリクスが抽出または計算されるログ メッセージを返すクエリを入力します。最良のパフォーマンスを得るには、メトリクスが作成されるログ メッセージのみを返す範囲を入力します。例:

      _sourceCategory=alert !info !warn error

      有効な範囲を入力すると、ページの [Preview Parse Expression (parse 式のプレビュー)] セクションに、最近の 10 件の一致するログの行が表示されます。

      preview-parse-expression.png
    3. Parse Expression (parse 式): 範囲クエリに一致するログから目的のフィールドを抽出する parse 式を入力します。ログからメトリクス ルールでサポートされる parse operator を次に示します。これ以外の parse operator は、サポートされません。
      • parse multi
      • parse regex
      • parse anchor
      • parse nodrop
      • csv
      • double
      • fields
      • json
      • keyvalue

parse 式の例を次に示します。

parse "[hostId=*]" as hostid

有効な parse 式を入力すると、ページの [Select Metrics and Dimensions (メトリクスおよびディメンションの選択)] セクションに、parse されたフィールドが表示されます。parse 式で parse されたフィールドのほかに、次の Sumo メタデータ フィールドも表示されます。

  • _sourceHost        
  • _source        
  • _sourceName        
  • _collector        
  • _sourceCategory

    Select-Metrics-and-Dimensions.png
  1. ページの [Select Metrics and Dimensions (メトリクスおよびディメンションの選択)] セクションで、ルールにより抽出されるメトリクスとディメンションを定義します。以下のスクリーンショットのように項目が選択されている場合は、一致するログ メッセージから 1 つのディメンションが抽出され、一致するログ メッセージの数から 1 つのメトリクスが作成されます。 

    mets-dims.png
    1. プロットして分析する必要のある数値 (レイテンシなど) であるフィールドの [Metrics (メトリクス)] チェックボックスをクリックします。両方数値である限り、複数のフィールドをメトリクスとして指定できます。一方、ログに埋め込みメトリクスが含まれておらず、ログ数に基づいてメトリクスを作成する場合は、どのフィールドもメトリクスとしてマークしません。  
    2. クエリを実行し、hostId などのメトリクスを集計するフィールドの [Dimensions (ディメンション)] チェックボックスをクリックします。フィールドをディメンションとして設定する作業は、省略可能です。選択するディメンションは、多くなりすぎないようにしてください。ルールから生成される一意のメトリクスの数が増加します。
    3. 範囲および parse 式に一致するログ メッセージの総数であるメトリクスを作成する場合は、[Count the number of log messages (ログ メッセージ数をカウントする)] スイッチをオンに切り替えます。1 つ以上のフィールドをメトリクスとして指定するだけではなく、このような計算メトリクスを作成することもできます。このスイッチを切り替えた場合は、メトリクスの名前を入力するように求められます。 
  2. [Estimate DPM (DPM の概算)] をクリックすると、過去 60 分間にルールによって作成されていただろう分あたりのデータ ポイント数 (DPM) が表示されます。
     
    dpm.png
  • この記事は役に立ちましたか?