メインコンテンツまでスキップ
Sumo Logic Japanese

検索のスケジュール

  1. 最後の更新
  2. PDFとして保存

検索を保存する際に、周期的に実行するためのスケジュールとアラートを追加できます。アラート タイプについては、「Scheduled Search」を参照してください。 

受信時間を使用して Scheduled Search を実行する場合は、検索の保存時に受信時間を有効にします。

検索のスケジュール

Scheduled Search は、検索の作成時に Scheduled Search として作成するか、または保存済み検索を後で編集してスケジュールを追加することで作成できます。 

  1. 検索の編集ダイアログで [Schedule this Search (この検索をスケジュールする)] をクリックします。
     Sumo-125402.png
  2. 実行頻度を選択します。選択すると、追加の設定が表示されます。
    Scheduled Search のカスタム メールRun Frequency (実行頻度)。検索を実行する頻度と、開始時刻を設定します。
    • +/- 30 分が入るタイムゾーンでは、分は UTC 規準とします。たとえば、IST (インド) のタイム ゾーンでは、30 分のオフセットが入ります。そのため、実行開始は正時ではなく正時 + 30 分となります。
    • Custom Cron (カスタム Cron)。カスタム CRON 式を入力します。Cron 式の実行頻度は、15 分以上にする必要があります。詳細については、「CRON の例とリファレンス」を参照してください。 
    • Weekly (毎週)。検索は毎週実行されます。曜日を指定すると、その曜日の指定時刻に検索が実行されます。 
    • Daily (毎日): [Day (日)][Weekday (Mon-Fri) (平日 (月~金))]、または [Weekend (Sat-Sun) (週末 (土日))] と時刻を指定することもできます。毎日検索を実行することで、24 時間分のアクティビティを正確にカバーできます。スケジュールはいつでも変更できます。(Scheduled Search は、コンピューターで設定されているタイム ゾーンに従って、設定された時刻に実行されます。たとえば、サンフランシスコで午前 7 時 00 分に検索を実行するように設定されている場合の検索時刻は 7:00 AM PST になります。そのコンピューターをニューヨークに持って行き、タイム ゾーンを EST に変更してから新しい検索を午前 7 時 00 分に実行するように設定すると、その検索の実行時刻は 7:00 AM EST になります。これら 2 つの検索は、異なる時刻に実行されることになります。)
    • [Every 2, 4, 6, 8, or 12 Hours (2、4、6、8、または 12 時間ごと)]。最初は、選択した時間の正時に実行されます。
    • Hourly (毎時)検索は 1 時間ごとに実行されます。
    • Every 15 minutes (15 分ごと)。検索は 15 分ごとに実行されますが、毎時の 00 分、15 分、30 分、45 分に実行されるわけではありません。
    • Real Time (リアルタイム)。このオプションは、リアルタイム アラートをセットアップする場合に選択します。頻度がリアルタイムの場合は、受信時間は使用できません。
    • Never (なし)。このオプションは、一時的に Scheduled Search を停止する場合に選択します。
  3. Time range for scheduled search (Scheduled Search の時間範囲)。クエリを実行する時間範囲を指定します。クエリが生成する結果に影響します。毎日 24 時間分のデータからアラートを生成する場合は [Last 24 Hours (最近 24 時間)] を選択します。それ以外の場合は、Scheduled Search を実行したい時間範囲を設定します。 

もしくは、時間範囲を入力します。たとえば、-15m と入力すると、最近 15 分間に生成されたデータに対して検索が実行されます。

  1. Timezone for scheduled search (Scheduled search のタイムゾーン)。Scheduled Search で使用するタイム ゾーンを選択します。スケジュールの時刻は、このタイム ゾーンに基づいて計算されます。このタイム ゾーンは、データのタイム ゾーンとは無関係です。タイム ゾーンを指定しないと、デフォルトとしてブラウザのタイム ゾーンが Scheduled Search で使用されます。
  2. Send Notification (通知を送信)。アラートを送信する条件を選択します。
    • [Every time a search is complete (検索が完了するたび)]。 このオプションを選択すると、検索が実行されるたびに検索結果がメールで送信されます (実行頻度によって、15 分ごと、毎時、または毎日メールが届きます)。
    • If the following condition is met (次の条件が成立した場合)。特定のイベントのみを通知するように Scheduled Search を設定したい場合には、このオプションを選択します。
    • Number of results (結果数)。検索が返す結果の数によってメールを送信します。保存済み検索がログ メッセージを返す場合、指定したメッセージ件数に達するとメールが送信されます。クエリで集計結果を生成する場合、未処理の結果数ではなく、生成された行や集計 (またはグループ) の数によってメールが送信されます。クエリをさらに細かく制御したい場合は、しきい値 (例: | where _count > 30) を検索に設定して、アラート条件を Greater than 0 (0 より大きい) に設定します。これにより、条件が成立した時点でクエリは結果を生成します。
      • Equal to (次に等しい)。検索結果のレコード件数がちょうどこの値になったら通知を送信します。
      • Greater than (次より多い): 生成されたメッセージやグループの件数がテキスト ボックスに入力した数を超えた時点で通知を送信します。
      • Greater than or equal to (次以上)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを超えた時点で通知を送信します。
      • Fewer than (次未満)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数より少ない場合に通知を送信します。
      • Fewer than or equal to (次以下)。 生成されたメッセージやグループの件数がテキスト ボックスに入力した数と等しいか、それを下回った時点で通知を送信します。
  3. Alert Type (アラート タイプ)。利用できるアラート タイプの詳細については、「Scheduled Search」を参照してください。
  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. 記事のタイプ
    トピック
  2. タグ
    1. Scheduled Search