メインコンテンツまでスキップ
Sumo Logic Japanese

ダッシュボード エラー - No Data to Display (表示するデータがありません)

ライブ モード

ダッシュボードのデータ パネルの時間範囲によっては、パネルに結果がすべて表示されるまで時間がかかることがあります。ライブ モードに切り替えると、ライブ データの表示が開始され、指定された時間範囲がデータで埋められます。ダッシュボードが完全にデータで埋められると、パーセンテージ インジケーターが緑色のドットに変わります。 

Sumo Logic では、以下の場合にメッセージのタイム ゾーンとして UTC を使用します。

  • タイム ゾーンが自動的に parse されない
  • メッセージにタイム ゾーンがない
  • タイム ゾーンの値がない
  • Source がデフォルトのタイム ゾーンで設定されていない 

この結果、「parse された時刻」が実際のログ メッセージの時刻と前後にずれてしまいます。これにより、パネルでのメッセージの解釈が変わってしまいます。(時刻の parse に関するよくある問題については、「タイムスタンプ、タイム ゾーン、時間範囲、および日付フォーマット」を参照してください。)

パネルとは、アクティブなクエリであり、インデックス作成中のメッセージより前にシステムが受信したデータのみを対象とし、parse されたタイムスタンプが現在のパネル時刻のウィンドウ内、または 10 分後までの範囲にあるメッセージのみを処理します。メッセージが受信されると、パネルはそれらのメッセージが X 時間/分前~現在時刻から 10 分後の範囲内にあるかどうかを確認します。

  • そうであれば、これらのメッセージはパネルに追加されます。
  • そうでなければ除外されます。

メッセージの時刻が PST であるのに Sumo Logic が UTC として解釈してしまうと、パネルはこれらのメッセージが現在のものではないとしてスキップしてしまいます。たとえば、現在時刻が 17:00 (UTC) で、受信したメッセージのタイムスタンプが 10:00 (PT) である場合、タイム ゾーン設定エラーによって Sumo Logic はそのメッセージのタイムスタンプを 10:00 (UTC) と解釈してしまい、7 時間も前のメッセージであると判断して、現在のパネル ウィンドウには追加しません。

インタラティブ モード

インタラクティブ モードでは挙動が異なり、ログ メッセージを処理してインデックスを作成してからクエリを実行し、サービスがメッセージをいつ受信したかには関係なく、parse 後のタイムスタンプが選択された時間範囲内にあるメッセージを探します。インタラクティブ検索では、parse された時刻より 7 時間前に受信されているメッセージでも、現在のクエリで見つけることができます。

タイムスタンプの parse 問題または取り込みの遅延が問題の原因であるかどうかを最も簡単に調べる方法は、parse された時刻の [Time (時刻)] フィールドの値を、サービスがメッセージを受信した時刻と比較することです。パネルにデータが表示されていない場合には、パネルをクリックしてから [Show in Search (検索で表示)] ボタンをクリックして、[Search (検索)] タブでクエリを開きます。

[Search (検索)] ページでクエリを開くと、受信範囲セレクターの下に [Use Receipt Time (受信時間の使用)] というオプションが表示されます。このオプションをオンにした状態でクエリを実行します。 

Query_User-Receipt-Time.png

このオプションにより、ログから parse された時刻ではなく、Sumo Logic がメッセージを受信した時刻 (または Sumo Logic での受信時刻) で検索を実行できます。このオプションでは、parse された時刻と受信時刻の両方を表示するため、値を比較することができます。値が数時間もずれている場合は、時刻の parse に問題がある可能性が高く、Source 設定、特に Source または Collector の [Use time zone from log file (ログ ファイルのタイム ゾーンを使用)] の設定を見直す必要があります。どちらも存在しない場合:.最も一般的な問題は、Source ログ メッセージが異なるタイム ゾーンで生成されているのに、この設定がデフォルトの UTC になっているということです。

受信時刻とメッセージ時効のオフセットをチェックするクエリ

アカウントで以下のクエリを実行すると、受信時刻と parse された時刻が 1 時間以上ずれているメッセージがある Collector、Source、および sourceName のカウントが返されます。このクエリは、[Use Receipt Time (受信時間の使用)] オプションを選択した状態で、非常に狭い時間範囲で実行してください。このクエリにより、ダッシュボード パネルで「No Data to Display (表示するデータがありません)」エラーの原因となった Source と sourceName を特定できます。

* | _receipttime - _messagetime as difference
| difference/1000/60 as diff_minutes
| where diff_minutes < -60 or diff_minutes > 60
| count by _collector, _source, _sourceName