Docs » Splunk Log Observer Connect » フィールドエイリアスの作成

フィールドエイリアスの作成 🔗

注釈

Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。

エイリアスはフィールドに割り当てる別の名前で、その名前を使用してそのフィールドを含むイベントを検索することができます。エイリアスは、元のフィールド名と一緒にイベントに追加され、必要なデータを見つけやすくし、関連コンテンツ の提案を通じてデータソースを接続します。

フィールド エイリアシング は、インデックス時ではなく、検索時に発生するため、データを変換することはありません。フィールド エイリアシングは元のフィールド名を変更したり削除したりしません。フィールドをエイリアスにすると、元のフィールド名でも、エイリアスのどれでも検索できるようになります。

前提条件 🔗

フィールドエイリアスを作成するには、Splunk Observability Cloud の Admin または Power ユーザーのロールが必要です。

フィールド エイリアシングを使用する場合 🔗

フィールド エイリアシングは、次のような場合に使用します:

  • ログデータを取得するために Log Observer Connect を使用し、Log Observer Pipeline Management にはアクセスできません。

  • 追加のログ処理ルールを作成することで、インデックス作成容量を使用したくありません。

  • 元のフィールド名を保持したいので、インデックス時にデータを変換するようなログ処理ルールは作成したくありません。

  • 新しいエイリアスは、エイリアスを作成する前の時点から入ってきたものであっても、すべてのログメッセージに影響するようにしたいと思います。

  • ログ詳細のフライアウトの上部にフィールドを個別に表示したいと思います

フィールド エイリアシングの例 🔗

ログ詳細のフライアウトにフィールドを個別に表示する 🔗

便宜上、チームは、ログの詳細のフライアウトの上部に、特定のフィールドを常に個別に表示するように選択できます。希望のフィールドを個別に表示するには、 message フィールドにエイリアスを付けます。Log Observerのログ詳細フライアウトは、常に message フィールドを一番上に表示します。他のフィールドを message フィールドにエイリアスすると、そのフィールドは、ログ詳細フライアウトの上部にある MESSAGE という独立したセクションに表示されます。

例えば、チームが summary フィールドを最も頻繁に使用するとします。message という summary フィールドのエイリアスを追加します。 summary フィールドはまだ存在しますが、message とも呼ばれ、画面右側のログ詳細フライアウトの MESSAGE セクションに表示されます。

この画像は、ログ詳細フライアウトの上部にある独立したセクションのメッセージフィールドの位置を示しています。

関連コンテンツの有効化 🔗

For example, say Splunk Observability Cloud receives the following telemetry data:

  • Splunk APM は、メタデータフィールド trace_id: 2b78e7c951497655 を持つトレースを受信します。

  • Splunk Log Observer は、メタデータフィールド trace.id:2b78e7c951497655 を持つログを受信します。

Although these refer to the same trace ID value, the log and the trace cannot be correlated in Splunk Observability Cloud because the field names, trace_id and trace.id do not match. In this case, alias your log metadata field trace.id to trace_id using Field Aliasing. When the field names in APM and Log Observer match, the trace and the log with the same trace ID value can be correlated in Splunk Observability Cloud. Then when you are viewing the trace in APM, you can click directly into the log with the same trace ID value and view the correlated log in Log Observer.

To ensure full functionality of both Log Observer and Related Content, verify that your log fields are correctly mapped to the required key names as listed at Splunk Log Observer.

フィールド名の正規化 🔗

あるデータソースに http_referrer というフィールドがあるかもしれません。このフィールドは、ソースデータでは http_referer とスペルミスしている可能性があります。フィールドエイリアスを使用して、元のソースデータでスペルミスのあるフィールドをキャプチャし、ロギングコードを変更することなく、期待されるフィールド名にマッピングします。

同じフィールドを多少異なる名前で呼び出す2つのデータソースがあるかもしれません。例えば、あるデータソースには EventID というフィールドがあり、別のデータソースには EventRecordID というフィールドがあります。これらのフィールドが同じものを表していることは、値によってわかります。 EventIDEventRecordID にマップするフィールドエイリアスを作成し、Log Observerで分析するために、これらのフィールド名のどちらかを持つすべてのログを EventRecordID フィールドに集約することができます。

新しいフィールドエイリアスを作成する 🔗

新しいフィールドエイリアスを作成するには、以下の手順に従ってください:

  1. Splunk Observability Cloud のナビゲーションメニューで、Settings > Log Field Aliasing に移動し、Add a new alias をクリックします。

  2. Original field name に、エイリアスを作成したいフィールド名を入力します。入力を開始し、利用可能なすべてのフィールドのドロップダウンリストから必要なフィールド名を選択します。

  3. Alias に、元の名前に加えてこのフィールドに付けたい新しい名前を入力します。他の既存のフィールド名のリストがドロップダウンリストに表示されます。Save and Activate をクリックします。

  4. Save and Activate をクリックします。

新しいフィールドエイリアスはYour aliasesに表示され、デフォルトはactiveです。これで検索時のクエリに適用されます。エイリアスを無効にするには、Your aliasesでフィールドを見つけ、Activeの隣にあるトグルをクリックします。

フィールドエイリアスを無効化または削除する 🔗

検索時のクエリにエイリアスを適用したくない場合は、フィールドエイリアスを無効化または削除できます。フィールドエイリアスを編集することはできません。代わりに、それを削除して新しいものを作成する必要があります。

フィールドエイリアスを無効化または削除するには、以下のようにします:

  1. Settings > Log Field Aliasing にアクセスします。

  2. Your aliases リストで、無効化または削除したいエイリアスを見つけます。

  3. エイリアスを無効にするには、STATUS 列の Active の横にあるトグルをクリックします。エイリアスを削除するには、エイリアスの行のゴミ箱アイコンをクリックします。

This page was last updated on 2024年05月28日.