中央集中型ログ管理 UI の詳細

general[General] 設定タブ


フィールド	説明	必須
Source Name	このソースルールの名前。この名前は一意である必要があります。定義されたソースルールのリストに表示されます。	あり
Source Type	ログソースファイルのイベントタイプを指定します。このフィールドは、Splunk AppDynamics テンプレートまたは既存のソースルールから開始するときに事前入力されます。新しいソースルールを最初から作成する場合は、任意の値を指定できます。この値は、この特定のタイプのログイベントを識別するために使用され、収集されたログデータの検索とフィルタリングに使用できます。値は、ログデータのフィールドリストに表示されます。	あり
Source File	ログソースとして機能するログファイルの場所と名前。場所は、analytics-agent と同じマシン上にある必要があります。ワイルドカードを使用できます。また、1 レベル深いファイルと照合するか、パスディレクトリ構造内のすべてのログファイルと照合するかどうかを指定できます。複数レベルの照合の例： path: /var/log/*/.logこれは、/var/log/apache2/logs/error.log と /var/log/cassandra/system.log の両方と一致します。 1 レベルの照合の例：path: /var/log//.logこれは、/var/log ディレクトリ内を 1 レベルの深さで .log ファイルを検索します（/var/log/cassandra/system.log と一致しますが、/var/log/apache2/logs/error.log とは一致しません）。注: 最適なパフォーマンスを得るには、ログソースあたりのログファイル数を 6,000 に制限することをお勧めします。	収集タイプがローカルファイルシステムからの場合に必須です。
Exclude Files	定義されたソースルールからファイルを除外（ブラックリストに登録）します。除外するファイルの相対パスを入力します。ワイルドカードを使用すると、複数のファイルを除外します。単一ファイルの例： Source File: /var/log/*/.log Exclude Files: cassandra/system.log 複数ファイルの例：Source File：/var/log/*/.logExclude Files：*/system.log	いいえ
TCP Port	analytics-agent がネットワーク接続からログファイルを収集するためのポートを指定します。収集タイプが [From local file system] の場合、このフィールドは表示されません。ポート番号が指定されていない場合、ポート 514 が使用されます。syslog ユーティリティと analytics-agent の両方が、ポート 514 にログを送信するためのルートアクセスを持っている必要があります（1024 未満のポートへのバインドにはルートアクセスが必要です）。	収集タイプがネットワーク接続からの場合に必須です。
Enable path extraction	このチェックボックスをオンにすると、パス名からフィールドを抽出できます。テキストボックスに grok パターンを追加します。 grok パターンの構文は {%{SYNTAX:SEMANTIC} です。たとえば、`AdminSever` を `/opt/apps/oracle/middleware/user_projects/domains/ouaf_domain1/servers/AdminServer/logs/AdminServer.log` から抽出するには、次の GROK パターンを入力します。servers`/%{DATA:servername}/%{GREEDYDATA},`。ここで、`%{DATA`:server`}` はサーバ名をフィルタ処理し、%{GREEDYDATA} はログパスから残りのメッセージをフィルタ処理します。	いいえ
Thread Count	分析エージェントがログ処理に使用するスレッドの数を指定します。スレッド数を増やすとシステムリソースに影響を与える可能性があるため、環境のパフォーマンスを分析した後にスレッド数を指定する必要があります。 Minimum Value：5 Maximum Value：25	処理するログファイルの数が 5 を超える場合は必須です。
File Wait Time	エージェントがログファイルの更新を待機する時間を秒単位で指定します。この制限時間が経過すると、エージェントは新しいログファイルのモニタリングを開始します。デフォルト値は 30 秒です。	いいえ
Start collecting from	追跡（ログレコードの収集）を開始する場所を指定します。次のオプションがあります。ログファイルの先頭からログファイルの末尾から特定の時間範囲（時間単位）：たとえば、これを 4 時間に設定した場合、ルールを有効にすると、分析がログデータの追跡を開始し、直近の 4 時間のデータのみが取り込まれます。追跡が開始されると、そのファイルではウォーターマークの状態が維持されます。エージェントが停止して再起動されると、古いファイルでオフになっていた場所から追跡が開始されます。新しいファイルの場合、直近の 4 時間のデータのみが追跡されます。	デフォルトでは、ログレコードはファイルの先頭から収集されます。
Override time zone	ログイベントの eventTimestamp のタイムゾーンを上書きするには、これを使用します。ログイベントにタイムゾーンが割り当てられておらず、上書きされない場合は、ホストマシンのタイムゾーンがログイベントに割り当てられます。[pickupTimestamp] フィールドのタイムゾーンを上書きすることはできません。タイムゾーンを上書きする場合は、タイムスタンプの形式を指定する必要があります。タイムゾーンの形式は、「Joda-Time Available Time Zones」に準拠する必要があり、タイムスタンプの形式は Joda-Time フォーマットシステムを使用して作成する必要があります。	いいえ
Override timestamp format	必要に応じて、形式を上書きできます。タイムゾーンの形式は、「Joda-Time Available Time Zones」に準拠する必要があり、タイムスタンプの形式は Joda-Time フォーマットシステムを使用して作成する必要があります。	必須。ログファイルから時間を正しく抽出するには、タイムスタンプ形式の上書きが必要です。このフィールドが指定されていない場合、`eventTimestamp` は、ログ行にタイムスタンプが設定されていたとしても `pickupTimestamp` と同じになります。
Auto-Correct duplicate Timestamps	メッセージに重複するタイムスタンプが含まれている場合に元のログメッセージの順序を維持するには、このオプションを有効にします。これにより、順序を保持するためのカウンタが追加されます。	いいえ
Collect Gzip files	指定されたパス内の gzip ファイルも検出するには、これを有効にします。	いいえ

Field Extraction

次の表では、このタブのフィールドおよびアクションについて説明します。自動または手動でのフィールド抽出の使用に関する詳細な手順については、「ソースルールのフィールド抽出」を参照してください。


セクション/フィールドまたはアクション	説明
Add Grok Pattern
Message Pattern	これは、ログメッセージからフィールドを抽出するために使用される grok パターンです。パターンは、Splunk AppDynamics テンプレートまたは既存のソースルールを開始点として使用する場合に事前入力されていることがあります。必要に応じて、grok パターンを追加または削除できます。
Multiline Format	複数行にまたがる（複数の改行を含む）ログレコードが含まれているログファイルの場合は、このフィールドを使用し、ログファイル内の個々のレコードを識別する方法を指定します。選択肢は2つあります。 startsWith：複数行のログレコードの先頭に一致する単純なプレフィックス。 regex：複数行のログレコードに一致する正規表現。ネットワーク接続からログデータを収集している場合、複数行の形式はサポートされません。
Extract Key-Value Pairs
Field	キーと値のペア設定用に選択されたフィールドを示します。
Split	キーを値から区切るために使用される区切り文字。"key=value" の例では、分割区切り文字は等号「=」です。複数のカンマ区切り値を追加できます。
Separator	2 つのキーと値のペアを区切るために使用される区切り文字。key1=value1;key2=value2 の例では、区切り文字はセミコロン（;）です。複数のカンマ区切り値を追加できます。
Trim	保存される前に、キーまたは値の先頭または末尾から削除する文字のリスト。「_ThreadID_」の例では、「ThreadID」になるように、トリム文字としてアンダースコア「_」を指定できます。複数のカンマ区切り値を追加できます。
Include	「source」からキャプチャするキー名のリスト。[include] フィールドでキーを入力する必要があります。[include] フィールドを空白のままにすると、キーと値のペアは収集されません。
Actions
Upload Sample file	サンプルログファイルをアップロードするローカルファイルを参照します。
Preview	プレビューグリッドを更新して、指定したフィールド抽出パターンの結果を表示する場合に使用します。
Auto Field Extraction
Definer Sample	ログレコードから抽出するフィールドを代表するメッセージをプレビューグリッドから選択します。ソースルールごとに 1 つの definer サンプルのみを選択できます。
Refiner Samples	元の definer サンプルに含まれていなかった値を含める正規表現を改良します。
Counter Sample	これは無視するものを指定します。元の definer または絞り込み条件のサンプルによって含まれていた値を除外する正規表現を改良します。
Manual Field Extraction
Regular Expression	抽出するフィールドを定義する正規表現を追加します。
Field Type	フィールドのタイプを指定します。
Field Name	正規表現パターン内で自動的に生成されます。この名前は、分析検索 UI の [Fields] リストに表示されます。
Actions
Add Field	より多くのフィールドを抽出するために正規表現を追加する場合に使用します。20 を超えるフィールドは追加できません。
プレビュー All Matching Non-Matching	プレビューグリッドで表示可能な結果をフィルタリングするには、これらのボタンを使用します。
Upload Sample File	プレビューグリッドで使用するためにローカルファイルシステムからサンプルファイルをアップロードします。

manage[Field Management] タブ


フィールド/アクション	説明
Select Any Field to Customize	カスタマイズを追加するフィールドを選択します。1 つのフィールドに複数のカスタマイズを追加できます。
Field Name	このカラムには、カスタマイズがあるフィールドが一覧表示されます。
Customize	このカラムには、特定のカスタマイズが表示されます。静的フィールドの場合は、表示名が表示されます。静的フィールドをさらにカスタマイズすることはできません。
Mask Value	このカスタマイズオプションは、収集されたデータの値をマスクします。データ内の開始位置と終了位置、およびマスク値として使用する文字を指定します。
Replace Value	このカスタマイズオプションでは、フィールドの値全体が静的文字列に置き換えられます。
Rename	このカスタマイズオプションを使用すると、フィールドの名前をよりわかりやすい表示名に変更できます。
Field Type	フィールドのデータ型を変更する場合に使用します。たとえば、文字列から番号などです。使用可能な型は、String、Boolean、および Number です。指定したデータ型のフィールドを使用してソースルールが保存されてから、後でそのフィールドのデータ型を変更することはできません。分析データベースでフィールドがインデックス化されてから新しい型を指定しようとすると、検証エラーが発生します。
Remove	このカスタマイズにより、フィールドのデータ収集がオフになります。後で元に戻すことができます。
Add Static Field	このアクションにより、このソースから収集されたすべてのログイベントに静的フィールドを追加できます。このフィールドを使用して、ログデータを検索してフィルタリングすることができます。たとえば、これを使用して、ログデータにティア、ノード、およびアプリケーション名を追加します。