メインコンテンツまでスキップ
Sumo Logic Japanese

直感的な検索のためのマスタ メタデータ

Collector のカスタムのキーと値のペアを作成し、メタデータを使用してログ データを迅速に検索する方法について説明します。

ログにカスタム メタデータをラベル付けするキーと値のペアのフィールドを作成します。意味のある関連付けに基づいてフィールドがラベル付けられたログ データを参照することにより、より簡単かつ直感的に検索を行うことができます。Sumo Logic では、Source レベルでキーと値のペアを定義したカスタム フィールドをコレクタに追加できます。メタデータ ストリームのカスタム フィールドは、検索、クエリ、およびグラフ作成のために自動的に抽出されます。これにより、従来の Source カテゴリとしてタグ付けされたサブセットではなく、直感的に参照されたサブセットの結果を表示できます。 

このページでは、Collector のカスタム フィールドを定義する方法と、カスタム メタデータを効果的に使用してログ データを検索する方法について説明します。

Collector へのカスタム フィールドの追加

検索、パーティション化、およびロール ベース アクセス制御 (RBAC) クエリをより直感的に行うには、Collector にカスタム フィールドを追加します。これにより、Collector を通過するログ データがカスタム メタデータを自動的に継承するようになります。すべての収集対象にカスタム フィールド ラベルを作成し、よく知られている命名規則にログを適合させることができます。 

Collector のカスタム フィールドの作成方法を次のタスクで説明します。この手順では、フィールド内のカスタムのキーと値のペアを割り当てることにより、メタデータにタグ付けします。この例では、キーと値のペアを含むフィールドを 2 つ作成します。1 つはクラスタ用のフィールド、もう 1 つはポッド用のフィールドです。 

Collector にカスタム フィールドを追加するには、次の手順に従います。

  1. Sumo Logic のメイン ページの左側にあるメニュー バーで [Manage Data (データの管理)] > [Collection (コレクション)] を選択します。

K8s_Key-value-pair_Collection-option.png

  1. ウィンドウの左上にある [Collection (コレクション)] をクリックして、使用可能なデータ Collector のリストを表示します。
  2. カスタムのキーと値のペアを追加する Collector を選択します。この例では、Falco Collector を選択しています。

MM_Collection_Select_Collector.png

[Edit Collector (Collector の編集)] ダイアログが表示されます。

  1. [Add Field (フィールドの追加)] をクリックします。

MM_Add-Field.png

  1. それぞれのテキスト フィールドにフィールド名と値を入力します。この例では、クラスタとポッドのフィールドを作成しています。クラスタの名前は cluster、ラベルは k8s.dev で、ポッドの名前は pod_test、ラベルは k8s.test となっています。これにより、そのクラスタまたはポッドのログ データを簡単に検索できます。
  • green check circle.png フィールド テーブル スキーマにフィールドが存在し、使用可能である場合は、チェック マーク付きの緑色の円が表示されます。
  • orange exclamation point.png フィールド テーブル スキーマにフィールドがまだ存在していない場合、または使用不可である場合は、感嘆符付きの橙色の三角形が表示されます。この場合は、存在しないフィールドを [Fields (フィールド)] テーブル スキーマに自動的に追加する、または有効化するオプションが表示されます。[Fields (フィールド)] スキーマに存在しないフィールドが Sumo に送信された場合、または無効化された場合、このフィールドは無視され、削除済みとして認識されます。

MM_Fields_Key-Value-Pairs.png

  1. [Save (保存)] をクリックします。

以上で、この Collector に送信されるすべてのログに、これらのキーと値のペアが関連付けられます。この関連付けにより、cluster=k8s.dev または pod_test=k8s.test を検索して、ログを得ることができます。

結果をより迅速に得るためのメタデータの活用

このセクションでは、メタデータを使用して、コンテナ、ポッド、名前空間などの Kubernetes 環境のコンポーネントで検索を実行し、局所的な調査および分析を行う方法について説明します。また、キーと値のペアを含むメタデータ セットを使用してログ データを効率的に検索し、Kubernetes ラベルを表示して、それぞれのデータをクエリ結果で確認します。

メタデータを使用して Kubernetes コンポーネントと Kubernetes ラベルの結果を表示するには、次の手順に従います。

  1. ホーム ページで [+New (+ 新規)] をクリックしてクエリを開きます。

  1. [Log Search (ログ検索)] を選択して、メタデータの名前空間を指定します。この例では、namespace=sumologic と入力しています。

MWT_namespace=sumologic.png

  1. [Start (開始)] をクリックしてクエリを実行した後、[Messages (メッセージ)] タブの [Hidden Fields (非表示のフィールド)] の下で [namespace (名前空間)] をクリックし、その Kubernetes コンポーネントのメタデータを表示します。[namespace (名前空間)] フィールドが [Hidden Fields (非表示のフィールド)] から [Display Fields (表示フィールド)] に移動したことに注意してください。 

MWT_namespace_Display_Fields.png

  1. キーと値のペアのメタデータを表示するため、クエリ テキストフィールドにキーと値のペアを入力します。この例では、Prometheus コンテナのメタデータを表示するため、container=prometheus と入力しています。
  2. 次に、検索範囲を広げるため、間隔を [last 15 minutes (過去 15 分)] から [Last 60 minutes (過去 60 分)] に変更しました。
  3. コンテナを詳細に調査するため、[Logreduce] をクリックして、共通のログ メッセージをシグネチャ グループにグループ化しています。 

  4. 表示されるより小さなシグネチャ セットの詳細を確認するため、[Select Count (カウントの選択)] の下で 1 を選択しました。問題のトラブルシューティングを行う際には、多くの場合、根本原因が少ない情報量のデータに含まれています。

MWT_LogReduce_1.png

[Endpoints ended with: too old resource version (エンドポイントが終了した理由: リソースのバーが古すぎます)] という警告があります。この警告は、調査が必要な場合もありますが、アップグレードが進行中であることを示しているだけの場合もあります。

  1. 他の Kubernetes コンポーネントのデータをチェックするには、[namespace (名前空間)]、[cluster (クラスタ)]、[container (コンテナ)]、[pod (ポッド)]、[service (サービス)]、[Source Host (Source ホスト)] などのコンポーネントの左側にあるボックスを選択して、各コンポーネントを 1 つずつ有効にしてください。
  • この記事は役に立ちましたか?