フィールドエイリアスの作成

エイリアスはフィールドの別名で、複数の名前でフィールドを検索できます。エイリアスによって元のフィールドの名前が変更されたり、削除されたりすることはありません。

エイリアスはフィールドに割り当てる代替名で、その名前を使用してフィールドを含むイベントを検索できます。エイリアスは、元のフィールド名と一緒にイベントに追加され、必要なデータを見つけやすくし、関連コンテンツの提案を通じてデータソースを接続します。

フィールドエイリアスはインデックス時にではなく検索時に行われるため、データは変換されません。フィールドエイリアスによって元のフィールド名が変更されたり、削除されたりすることはありません。フィールドにエイリアスを設定すると、元の名前または任意のエイリアスで検索できるようになります。

前提条件

フィールドエイリアスを作成するには、Splunk Observability Cloud の Admin または Power ユーザーのロールが必要です。

フィールド エイリアシングを使用する場合

フィールド エイリアシングは、次のような場合に使用します:

  • ログデータを取得するために Log Observer Connect を使用し、Log Observer Pipeline Management にはアクセスできません。

  • 追加のログ処理ルールを作成することで、インデックス作成容量を使用したくありません。

  • 元のフィールド名を保持したいので、インデックス時にデータを変換するようなログ処理ルールは作成したくありません。

  • 新しいエイリアスは、エイリアスを作成する前の時点から入ってきたものであっても、すべてのログメッセージに影響するようにしたいと思います。

  • ログ詳細のフライアウトの上部にフィールドを個別に表示したいと思います

フィールド エイリアシングの例

ログ詳細のフライアウトにフィールドを個別に表示する

便宜上、チームはログ詳細のフライアウトの上部に特定フィールドを常に個別に表示するよう選ぶことができます。選択したフィールドを個別に表示するには、目的のフィールドを message フィールドにエイリアスします。Log Observer のログの詳細のフライアウトには、常に上部に message フィールドが表示されます。message フィールドに別のフィールドをエイリアスすると、ログ詳細のフライアウトの上部にある [MESSAGE] と呼ばれるスタンドアロンセクションに表示されます。

たとえば、チームが頻繁に [summary] フィールドを使用するとします。[summary] フィールドに [message] というエイリアスを追加します。summary フィールドはまだ存在しますが、message とも呼ばれ、画面の右側にあるログ詳細のフライアウトの [MESSAGE] セクションに表示されます。

この画像は、ログ詳細フライアウトの上部にある独立したセクションのメッセージフィールドの位置を示しています。

関連コンテンツの有効化

例えば、Splunk Observability Cloudが次のようなテレメトリデータを受信したとします:

  • Splunk APM は、メタデータフィールド trace_id: 2b78e7c951497655 を持つトレースを受信します。

  • Splunk Log Observer は、メタデータフィールド trace.id:2b78e7c951497655 を持つログを受信します。

これらは同じトレース ID 値を参照していますが、trace_idtrace.id というフィールド名が一致しないため、Splunk Observability Cloud ではログとトレースを関連付けることができません。この場合、Field Aliasing を使用して、ログメタデータフィールド trace.idtrace_id にエイリアスします。APM と Log Observer のフィールド名が一致する場合は、同じトレース ID 値を持つトレースとログを Splunk Observability Cloud で関連付けることができます。次に、APM でトレースを表示しているときに、同じトレース ID の値を持つログを直接クリックし、相関ログを Log Observer で表示できます。

Log Observer と Related Content の両方が完全に機能するために、「Splunk ログ」に記載されているように、ログフィールドが必要なキー名に正しくマッピングされていることを確認してください。

フィールド名の正規化

あるデータソースに http_referrer というフィールドがあるかもしれません。このフィールドは、ソースデータで http_referer をスペルミスしたものである可能性があります。フィールドエイリアスを使用して、元のソースデータでスペルミスのあるフィールドをキャプチャし、ログコードを変更することなく、予想されるフィールド名にマッピングします。

場合によっては、 2 つのデータソースで同じフィールドが若干異なる名前で呼び出されていることもあります。たとえば、あるデータソースには EventID というフィールドがあり、別のデータソースには EventRecordID というフィールドがあるとします。これらのフィールドが同じものを表していることは、値からわかります。EventIDEventRecordID にマッピングするフィールドエイリアスを作成し、それらのフィールド名のどちらもフィールド EventRecordID としてログを集計して、Log Observer での分析に使用することが可能です。

新しいフィールドエイリアスを作成する

新しいフィールドエイリアスを作成するには、以下の手順に従ってください:

  1. Splunk Observability Cloud のナビゲーションメニューで、Settings > Log Field Aliasing に移動し、Add a new alias をクリックします。

  2. [Original field name] に、エイリアスを作成するフィールド名を入力します。入力を開始し、利用可能なすべてのフィールドのドロップダウンリストから必要なフィールド名を選択します。

  3. [Alias] に、元の名前に加えて、このフィールドに付ける新しい名前を入力します。他の既存のフィールド名のリストが、ドロップダウンリストに表示されます。Save and Activate をクリックします。

  4. Save and Activate をクリックします。

新しいフィールドエイリアスが [Your aliases] に表示され、デフォルトで有効になります。これが検索時間クエリに適用されるようになりました。エイリアスを無効にするには、[Your aliases] でフィールドを探して [Active] の横にあるトグルをクリックします。

フィールドエイリアスを無効化または削除する

検索時のクエリにエイリアスを適用したくない場合は、フィールドエイリアスを無効化または削除できます。フィールドエイリアスは編集できません。代わりに、それを削除して新しいものを作成する必要があります。

フィールドエイリアスを無効化または削除するには、以下のようにします:

  1. Settings > Log Field Aliasing に進みます。

  2. Your aliases リストで、無効化または削除したいエイリアスを見つけます。

  3. エイリアスを無効にするには、[STATUS] 列の [Active] の横にあるトグルをクリックします。エイリアスを削除するには、そのエイリアスの行にあるゴミ箱アイコンをクリックします。