こんにちは。技術本部のtakaです。
Sumo logicのScheduled View機能をご存じでしょうか。
こちらの機能は、Sumo Logicを深くまで触っている方でもおそらく知らない有用な機能となっています。
Scheduled Viewとは、生ログやCount by OperatorなどAggregate Operatorの実行結果を保存する機能です。
この保存する機能によって、検索時にスキャンされるデータ量を大幅に削減することができ、特にFlexライセンスをご利用のお客様にはお使いいただきたい機能となっています。
今回は、そんなScheduled View機能をご紹介します。
Scheduled Viewの機能
https://help.sumologic.com/docs/manage/scheduled-views/
冒頭に記載の通り、Scheduled Viewは、生ログデータやCount by OperatorなどAggregate Operatorの実行結果を保存する機能です。
具体的な設定として、Scheduled View内にクエリを記載することで、そのクエリの実行結果を保存できます。
このView内に保存したデータは、_view=[Scheduled View名]とクエリ検索画面で指定することで検索ができます。
このクエリの中でAggregate Operator (Count by Operatorなど)を記載していない場合は、生ログデータが保存されます。
また、クエリ内にWhere Operatorが存在する場合は、条件に一致するログデータのみが保存されます。
Scheduled Viewの主な利点としては以下の通りです。
- Source CategoryやCollector名でクエリ検索をするよりも、Scheduled Viewに保存したデータに対してのクエリ検索は素早く実行可能であり、スキャンされるデータ量を大幅に削減が可能
- Scheduled Viewは作成後収集されるログだけでなく、過去365日間のログに対しても対象とすることが可能
- Scheduled Viewごとに保存したデータに対して保持期間を設定することが可能
このようにScheduled Viewは便利な反面、以下5点の注意事項が存在します。
- Scheduled View 作成には、Manage Scheduled Viewsの権限が必要となる
- Scheduled Viewのクエリ中に書けるOperatorに制限がある
利用可能なOperatorについては以下のURLにあるSumologic公式ドキュメントをご覧ください。
https://help.sumologic.com/docs/manage/scheduled-views/scheduled-views-best-practices/#what-types-of-operators-are-supported-in-scheduled-views - Scheduled Viewで設定するクエリ内にAggregate OperatorやWhere Operatorを使わない場合、生ログのデータをScheduled Viewで保存することとなり、元々のデータと合わせて二重にデータ保存し無駄となってしまう
- アカウントごとにScheduled Viewは500個まで
- Scheduled Viewは無効化されても、Sumo logicに残る
4点目のScheduled Viewが500個までの制限については、あくまで無効化されずに動いているScheduled Viewが500個までという制限になります。
つまり、Scheduled View を500個設定したアカウントが50個無効化した場合、50個新しくScheduled Viewを作成することができます。
Scheduled View設定方法
1.左側のナビゲーションパネルから[Manage Data] > [Logs]をクリック2.[Scheduled Views]タブをクリック
3.[+Add Scheduled View]をクリック
4.以下の設定項目を入力
- Name:Viewの名称です。この名称はクエリで使用され、(A-Z, a-z, 0-9)、$、_を入力できます。
- Query:後述するScheduled View利用の具体例を参考にViewに保存したいクエリを記載してください。
- Search Mode: Auto Parse ModeかManual Modeを選択してください。JSONのログデータを利用している場合には、フィールドを自動的に抽出するAuto Parse Modeを選択し、そうではない場合はManual Modeを選択してください。
5.下にスクロールし以下の設定項目を入力後、[Save]をクリック
- Start Date:上記Queryの対象とするログをいつからにするかの設定です。この設定は、365日前まで可能となります。
- Retention Period:View内に存在する実行結果または生ログの保持期間です。1~5,000まで入力可能です。
- Enable Data Forwarding:Amazon S3に結果を送る際にはこちらのチェックボックスをクリックしてください。aggregate Operator(Count Operatorなど)が使用されない場合は、生ログが送信されます。
Where Operatorを使ったScaduled View利用の具体例
Where Operatorを利用したクエリをScheduled Viewで保存することによって、より効率的にログ検索を行うことができます。
例えば、Google Driveで自社ドメイン以外のユーザでも閲覧できる状態となっているドキュメントに絞ったうえで、調査を進めたい場合には以下のクエリをScheduled Viewで保存すると効率よく進めることができます。
- 4行目のWhere Operatorで、ドキュメント公開設定の変更が行われたログを絞り込んでいます。
- 6行目のWhere Operatorで、ドキュメントがウェブ上で一般公開設定であるpublic_on_the_webや対象内のリンクを知っている全員がアクセス可能な設定となっているpeople_within_domain_with_linkとなっているログを絞り込んでいます。
|
_index=sumologic_search_usage_per_query |
最後に
今回、Scheduled Viewの機能について解説しました。
ご紹介した機能は勿論、それ以外でも、何かSumo logicについてご不明点等ございましたらお気軽に弊社へお問い合わせください。
最後までお付き合いいただきありがとうございました。
