メトリクス ボリュームのクエリ
このページでは、メトリクス取り込みをモニタリングするのに役立つクエリについて説明します。これらのクエリは、変更せずにそのまま使用できます。
メトリクス調整イベントのクエリ
このクエリは、監査インデックスを検索して、メトリクス取り込みが調整されたことを示すメッセージがないか確認します。メトリクス調整は、DPM バースト制限を超えたときに実行されます。詳細については、「メトリクスの調整」を参照してください。
_index=sumologic_audit _sourceCategory=account_management _sourceName=VOLUME_QUOTA "Resource type: MetricIngest"
推奨される検索時間範囲: 過去 1 時間 (-1h)
推奨されるスケジュール頻度: 1 時間ごと
メトリクス取り込み異常値のクエリ
このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、outlier オペレータを使用して、DPM のメトリクス取り込みが実行平均より統計的に有意な量だけ大きかったタイムスライスを検索します。
_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| outlier dp window=5,threshold=3,consecutive=1,direction=+
| where dp_violation > 1
推奨される検索時間範囲: 過去 3.5 時間 (-210m)
推奨されるスケジュール頻度: 1 時間ごと
DPM がプラン制限を連続的に超えていたかを確認するクエリ
このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、DPM のメトリクス取り込みがアカウントの DPM 制限を連続的に超えていた 15 分の期間がないか検査します。
_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| compare with timeshift 15m 8 min
//dpm limit = 3000000 * 15 minutes (size of timeslice bucket)
| 300000 * 15 as dp_limit
| where (dp > dp_limit and dp_120m_min > dp_limit)
推奨される検索タイムフレーム: 過去 15 分間 (-15m)
推奨されるスケジュール頻度: 15 分ごと
DPM がアカウントの制限を超える予測
このクエリは、メトリクス ボリューム インデックスに対して実行します。このクエリは、predict オペレータを使用して、DPM のメトリクス取り込みがアカウントの現在の DPM 制限をいつ超える可能性があるかを予測します。
_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| timeslice 15m
| sum(dp) as dp by _timeslice
| predict dp by 15m model=ar, ar.window=1
//dpm limit = 3000000 * 15 minutes (size of timeslice bucket)
| 300000 * 15 as dp_limit
| where dp_predicted > dp_limit
推奨される検索時間範囲: 過去 24 時間 (-24h)
推奨されるスケジュール頻度: 1 時間ごと
メトリクスが収集されなかったソース カテゴリ
このクエリは、過去 60 分間にメトリクスが取り込まれなかったメトリクス ソース カテゴリのリストを返します。
_index=sumologic_volume _sourceCategory=sourcecategory_metrics_volume
| parse regex "\"(?<sourcecategory>(?:[^\"]+)|(?:\"\"))\"\:\{\"dataPoints\"\:(?<dp>\d+)\}" multi
| first(_messagetime) as MostRecent, sum(dp) as TotalDataPoints by sourcecategory
| formatDate(fromMillis(MostRecent),"yyyy/MM/dd HH:mm:ss") as MostRecentTime
| toMillis(now()) as currentTime
| formatDate(fromMillis(currentTime),"yyyy/MM/dd HH:mm:ss") as SearchTime
| (currentTime-MostRecent) / 1000 / 60 as mins_since_last_datapoint
| where mins_since_last_datapoint >= 60
| fields -mostrecent, currenttime
| format ("%s Has not collected data in the past 60 minutes", sourcecategory) as message
例:
推奨される検索時間範囲: 過去 1 時間 (-1h)
推奨されるスケジュール頻度: 1 時間ごと