サンプルログファイルを使用した抽出されたログデータのプレビュー 

ログメッセージのデータ収集と解析の検証を改善するために、ログ分析設定 UI でローカルログファイルを使用して、目的のフィールド抽出をプレビューすることができます。3 種類のフィールド抽出を使用できます。

• Grok パターンとキーと値のペアの抽出
• 正規表現を使用した自動抽出
• 正規表現を使用した手動抽出

ソースルールの設計のベストプラクティス

ソースルールを作成する際には、いくつかの推奨事項が適用されます。

可能な限り最も単純な正規表現と grok の一致パターンを使用してください。コントローラ UI の応答が遅くなる可能性があるため、ワイルドカードや量指定子の過剰な使用は避けてください。https://docs.oracle.com/javase/7/docs/api/java/util/regex/Pattern.html では、このような過度の量指定子の例を確認できます。

正規表現パターン（grok を含む）をログ行と照合するのに 5 秒を超える場合、それらのフィールドの抽出とさらなる処理は停止します。これが発生すると、コントローラで表示されるときに一部のフィールドがそのログ行で欠落する場合があります。他のログ行は影響を受けません。ただし、これは多くの場合、最初の箇所での一致パターンが無効または不良である結果のため、すべてのログ行の処理に長い時間がかかる可能性があります。この動作は、[Centralized Log Analytics Configuration] ページの動的なプレビュー画面にも該当します。

コントローラは、ログ分析のソースルールにより、取得するレコードのサイズを 32 KB に制限します。この制限により、システムリソースの過剰な負荷が軽減されます。これには、ソースルールパターンの問題に起因する過剰なデータ収集によって生じる可能性のあるリソースの負荷が含まれます。