これがこのシリーズ最後の4本目です。
さて、続きをはじめましょう。
次のクエリを入力して全てのログが表示されていることを確認してください。
_collector="first_try"
取り込んだログが表示されていない場合は、中央上部のクエリ入力欄に正しくクエリが記入されていること、右上の解析日時が取り込んだログの範囲にあることを確認し "Start" をクリックしてください。
四角い赤枠内にログが表示されたと思います。
続いてパースしたい行の範囲を選択して右クリックのメニューから "Parse selected text" を選択しパース画面を表示させます。
パース画面からパースしたい文字列を選択し表示される "Click to Extract this value" を選択すると、選択した箇所が * に変換されるのでパースしたい箇所を次々と変換して行きます。
パースが終わったら下のテキストボックスにパースした分のフィールド名カンマ区切りで入力して "Submit" をクリックします。
パースが完了するとクエリ画面に戻ります。
クエリ部分にパースのクエリが追記されています。
続けて次のクエリを追記してエンターを押してください。
| count by filename
| fields filename, _count
すると画面の下半分にクエリの実行結果が表示されます。
中央部分のアイコンを変更するとクエリの結果の表示を変更できます。
作成したグラフをダッシュボードとして保存するには、画面中央右側の "Add to Dashboard" をクリックして保存画面を表示させ、パネル名、ダッシュボード名、保存先を入力して "Add" をクリックします。
保存が完了すると、先程作成したダッシュボードが表示されます。
どうだったでしょうか。
実際、社内では セキュリティやシステムのチューニングのコンサルティング案件などで過去データのファイルをアップロードして解析するなどの用途で使っていることもあります。
慣れればとても簡単で便利なツールです。
是非、Sumo Logicを使ってみませんか?
次の機会ではストリーミングデータでの取り込みをやってみたいと思います。
(完)
最初の記事:
