ソースルールのフィールド抽出

このページでは、自動および手動のフィールド抽出を使用してログ分析ソースルールを設定する方法について説明します。フィールド抽出では、正規表現を使用してログ分析データのフィールドを識別し、フォーマットします。

自動フィールド抽出を使用すると、サンプルログファイルをアップロードし、抽出用のフィールドを選択することができます。必要な正規表現は自動的に生成され、サンプルメッセージで強調表示されます。生成された正規表現は、絞り込み条件のサンプルおよびカウンタのサンプルログメッセージを使用して微調整できます。

手動フィールド抽出を使用すると、サンプルログファイルをアップロードし、独自の正規表現を入力してフィールドを定義し、フィールドをデータ型に関連付けることができます。

定義

  • ソースルール:ログファイルから分析データを抽出するための一連の構成設定。ソースルールは、コントローラの中央集中型ログ管理 UI を使用して作成します。ソースルールは、コントローラのデータストアに保存され、分析エージェントと定期的に同期されます。「ソースルールを使用したログ分析の構成」を参照してください。
  • サンプルファイル:ログファイルソースルールをテストおよび微調整する方法を提供する、コントローラにアップロードされた代表的なログファイル。
  • Definer サンプル:ログメッセージから抽出するフィールドを定義するために使用される、サンプルログファイルから選択された特定のログメッセージ。
  • 絞り込み条件のサンプル:Definer のサンプル手順で作成された自動生成された正規表現を修正するために使用される追加のログメッセージ。絞り込み条件のサンプルは、最初の手順で欠落していたフィールドをキャプチャするのに役に立ちます。
  • カウンタのサンプル:Definer または絞り込み条件の手順で定義されているフィールドを抽出する際に、誤検出を排除するために使用される追加のログメッセージ。

自動フィールド抽出

ここでは、自動フィールド抽出を使用して、ログファイルからフィールドを抽出する方法について説明します。

Definer のサンプルログメッセージを使用してフィールド抽出を指定するには、次の手順を実行します。

  1. 中央集中型ログ管理 UI を使用して、新しいソースルールを追加(または既存のソースルールを編集)し、[Field Extraction] タブ内の [Auto Field Extraction] サブタブに移動します。この UI へのアクセスの詳細な手順については、「 ソースルールを使用したログ分析の構成」のセクション「ソースルールの作成」を参照してください。
  2. グリッドにログメッセージが表示されない場合は、[Upload Sample File] をクリックしてサンプルファイルをアップロードします。設定プロセスの前の手順でサンプルファイルをアップロードした場合、または既存のソースルールを使用して新しいソースルールを開始した場合は、グリッドにログメッセージが表示されます。
  3. グリッドの任意の行にカーソルを合わせ、[+Select as Definer Sample] をクリックします。ログファイルから抽出するフィールドが含まれているサンプルログメッセージを選択します。異なるログメッセージからフィールドをキャプチャする必要がある場合は、複数の definer を作成できます。
  4. [Definer Sample] メッセージを選択したら、次の手順を使用してメッセージからフィールドを抽出します。[Definer Sample] を選択し、抽出するフィールドを指定すると、一致する結果と一致しない結果の行がプレビューグリッドに表示されます。
    1. メッセージのテキストを選択します。キーと値のペアを定義している場合は、キーフィールドのみを強調表示する必要があります。
      抽出したフィールドのプロパティを指定できるポップアップが表示されます。
    2. フィールド名を入力し、データ型を選択して、[Extract] をクリックします。
      プレビューグリッドが更新され、選択したテキストを含む一致する行が色付きで強調表示された状態で表示されます。
    3. (オプション)プロパティを更新するか、フィールドを削除するには、definer で作成したフィールドをクリックすると、プロパティのポップアップが表示されます。
    4. フィールドを追加すると、正規表現が変更されます。正規表現セクションでは、正規表現を表示またはコピーすることができます(編集はできません)。
  5. (オプション)絞り込み条件のサンプルを指定します。一致しない行を確認し、抽出される必要があるのに抽出されなかった値が見つかった場合は、その行を [Refiner Sample] として追加できます。絞り込み条件のサンプルは、Definer の手順から一致しなかった行を照合するために使用されます。
    1. グリッドで、[+Select as Refiner Sample] をクリックします。グリッドで、[]をクリックします。[Definer Sample] をすでに選択していない限り、このオプションは表示されません。
    2. テキストを選択します。
    3. ポップアップが表示されます。このテキスト部分を、Definer の手順ですでに作成されているフィールドに関連付けることができます。抽出すると、正規表現が変更され、一致する行がプレビューグリッドで更新されて、[Matching] として表示されます。[Refiner Sample] メッセージは必要に応じて複数追加できます。
  6. (オプション)カウンタのサンプルを指定します。カウンタのサンプルでは、フィールドの抽出の際の誤検出を排除します。プレビューグリッドでは、強調表示された値が [X] ボタンとともに表示されます。フィールドの横にある [X] をクリックすると、値は誤検出(カウンタのサンプル)としてマークされます。
    カウンタのサンプルが [Definer Sample] と [Refiner Sample] の下に表示され、一致する行と一致しない行の新しいセットが表示されるように正規表現が更新されます。
  7. [Save] をクリックして、フィールドをソースルールに保存します。
  8. [Add Source Rule] ダイアログの他のタブに進み、ソースルールの設定を完了します。

手動フィールド抽出

必要に応じて、手動フィールド抽出を使用して独自の正規表現を指定できます。

  1. 中央集中型ログ管理 UI を使用して、新しいソースルールを追加(または既存のソースルールを編集)し、[Field Extraction] タブ内の [Manual Field Extraction] サブタブに移動します。この UI へのアクセスの詳細な手順については、「 ソースルールを使用したログ分析の構成」のセクション「ソースルールの作成」を参照してください。
  2. グリッドにログメッセージが表示されない場合は、[Upload Sample File] をクリックしてサンプルファイルをアップロードします。
  3. Add Field をクリックします。
  4. [Show Example] をクリックして、正規表現の記述方法を確認します。
  5. 正規表現を入力し、ドロップダウンメニューを使用してフィールドタイプに関連付けます。
  6. プレビューグリッドで、[Refresh] をクリックします。
    プレビューグリッドは、サンプルログメッセージに正規表現を適用した結果で強調表示されます。20 を超えるフィールドは追加できません。
  7. (オプション)正規表現またはタイプを変更し、[Refresh] を使用して更新された結果を表示することができます。
  8. [Save] をクリックして、ソースルールを更新します。