Docs » Splunk Log Observer Connect » ログ集計を使用してフィールドごとにログをグループ化する

Edit this page
Learn how

---

ログ集計を使用してフィールドごとにログをグループ化する

注釈

Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。

集計は、関連するデータを1つのフィールドでグループ化し、他のフィールドで統計計算を実行します。ログレコードの集計は、関連するログの平均、合計、その他の統計値を表示することにより、問題を視覚化するのに役立ちます。

たとえば、Logsテーブルを参照して、サービスのパフォーマンスについて詳しく調べるとします。各サービスの応答時間が気になる場合は、サービスURLごとにログレコードをグループ化し、集約を使用して平均応答時間を計算できます。この集計は、応答が遅いサービスを特定するのに役立ちます。

レスポンスタイムの悪いサービスを特定したら、そのサービスのログレコードを掘り下げて、問題の詳細を理解することができます。

ログ記録を集計する

アグリゲーションを行うには、以下の手順に従います：

1. 集計コントロールバーを見つけてください。Log Observer Connectにはデフォルトの集約はありません。Log Observerのデフォルトは Group by: 重大度 。このデフォルトは、以下の集約コントロール設定に対応しています：

   • COUNT

   • All(*)

   • Group by: 重大度

2. グループ化するフィールドを変更するには、Group by テキストボックスにフィールド名を入力し、Enter を押します。集計コントロールバーには、以下の機能もあります：

   • テキストボックスをクリックすると、Log Observerは、ログ記録で利用可能なすべてのフィールドを含むドロップダウンリストを表示します。

   • テキストボックスは自動検索を行います。フィールドを見つけるには、その名前の入力を始めます。

   • リスト内のフィールドを選択するには、その名前をクリックします。

   • グループ化するフィールドを検索する場合、一度に表示できるのは50フィールドまでです。入力し続けると、選択できるフィールドのリストがより具体的に表示されます。

3. 各グループに適用する計算を変更するには、以下の手順に従ってください：

   1. 計算コントロールから統計量のタイプを選択します。例えば、平均値を計算するには、AVG を選択します。

   2. 計算フィールドコントロールテキストボックスにフィールド名を入力して、統計のフィールドを選択します。テキストボックスは自動検索するので、一致するフィールド名を見つけるために入力を開始します。

4. 集計を実行するには、Apply をクリックします。

グループ化または計算にフィールドを使用すると、タイムラインヒストグラムとログテーブルに表示される結果には、そのフィールドを含むログのみが含まれます。使用したフィールドを含まないログによって計算が影響を受けないように、ログはグループ化したフィールドによって暗黙的にフィルターされます。

例1：サービス名で重大度を集計して問題を特定する

潜在的な問題を発見する一つの方法は、深刻なエラーを多く発生させているサービスを見つけることです。これらのサービスを見つけるには、サービス名でログレコードをグループ化し、すべてのレコードを数えます。問題のあるサービスは、severity の値がERRORである多くのレコードを持つグループとして表示されます。

このアグリゲーションを適用するには、以下の手順に従います：

1. 計算コントロールを使って、COUNT を選択し、計算タイプを設定します。

2. 計算フィールドコントロールを使用して、計算フィールドを All(*) に設定します。

3. Group by テキストボックスを使って、グループ化するフィールドを service.name に設定します。

4. Apply をクリックします。タイムラインヒストグラムは、すべてのサービスによるログのカウントを積み重ねられた列として表示します。ヒストグラムの凡例には、各重大度の色が表示されます。

例2: リクエストパスごとにレスポンスタイムを集計して問題を特定する

期待されるよりも長いサービス応答は、サービスまたはそれが実行されるホストの他の部分に問題があることを示すかもしれません。予想より応答が遅いサービスを特定するには、各サービスを一意に識別するフィールド http.req.path によってログイベントをグループ化します。各グループについて、応答時間フィールド http.resp.took_ms の平均を計算します。

このアグリゲーションを適用するには、以下の手順に従います：

1. 計算コントロールを使って、計算タイプを AVG に設定します。

2. 計算フィールドコントロールを使用して、フィールドを次のように設定します。 http.resp.took_ms

3. Group by テキストボックスを使って、グループ化するフィールドを http.req.path に設定します。

4. Apply をクリックします。タイムラインヒストグラムは、各サービスの平均応答時間を表示します。

This page was last updated on 2023年11月17日.

---

❮

Previous

ログ詳細のフライアウトにフィールドを個別に表示する

Next

ログデータを Splunk Observability Cloud のダッシュボードに追加する

❯

---

• API docs
• Blog
• Training
• Free Trial