問い合わせなくても問題ありません: LM Logs がすべての人のためにどのように構築されているか

問い合わせなくても問題ありません: LM Logs がすべての人のためにどのように構築されているか

あなたのチームはロギング ツールにアクセスできますか? すごい! あなたが最初に見つけたいものは何ですか? 最新の構成変更がうまくいかなかった? 特定のサーバーが高容量だった 30 日前のデータですか? または、特定の HTTP およびサーバーの特定の日に特定の IP のログにアクセスして、カウントと平均を取得したい場合があります。.

これらの質問に答えるために必要な特定のクエリ言語と専門家のスキルを教えるトレーニングがあったことを願っています. 結局のところ、アプリケーション、システム、セキュリティ、および監査ログを収集する 180 台の Windows サーバーに対して、2.5 日あたり 66 万エントリの XNUMX GB のログをやみくもに掘り下げたいとは思わないでしょう。 適切なエラー レベルと警告レベルにフィルター処理していますか? おそらくそうではありません。 

真実は、ロギング ツールを持っていることは、それを使用する方法を知っていることと同じではありません。 ログデータを分析する. 分析する適切なデータを検索して見つける方法がわからない場合、チームはログ ツールを効果的に管理するにはどうすればよいでしょうか?  

どこから始めますか?

ログ データをクエリできない場合、データを掘り下げたり、分析したり、問題を特定したりすることはできません。 それだけではありません。 ログ データを制御しないと、ログ分析のベースラインを作成できず、アラート ルールを構成したり、インフラストラクチャの異常を調査したりすることはできません。

クエリを実行できない場合、トラブルシューティング、最適化、またはパフォーマンスの監視を行うことはできません。 残念ながら、従来のロギング ツールでは、ログ データを検索およびフィルタリングして効果的なトラブルシューティングを行うために独自のクエリ知識が必要であり、ビジネス クリティカルな問題の特定と解決が遅れます。 クエリの技術には、ツールを効果的に管理する必要があるチーム間で共有するのが容易ではない、非常に具体的な組織の知識が含まれることがよくあります。

LM Logs は誰でも利用できます 


LM Logs には、すべての経験レベル (単純なものから上級者、中間のすべてのものまで) のクエリ機能が含まれています。 単純なログ分析を行おうとしているユーザーの場合、知識を照会する必要はありません。 クエリのスキルを披露したいユーザーは、すぐに飛び込むことができます。

LM Envision 内の統合されたログとメトリクスは、Opts チームをコンテキスト豊富なデータに接続して、トラブルシューティングから当て推量を取り除きます。 LM ログは、運用チームがメトリック パフォーマンス ダッシュボードから直接分析を開始できるようにします。 問題のリソースを特定し、[ログ] に移動して、データの検索とフィルター処理を開始し、分析を開始します。 

ここから、オプションは次のとおりです。

  • インフラストラクチャ リソース、時間範囲、またはメタデータに基づいてログをフィルタリングし、異常の特定に役立てる
  • キーワードで検索する (オートコンプリートによる)、または高度な論理検索演算子 (正規表現ステートメントなど) を使用して関連データを見つける
  • 返されるログ データを制御し、結果の形式を変更する高度な検索機能 
LogicMonitorのログダッシュボード

どこから始めればいいのかわかりませんか?

特定の情報を見つけたり、ログのパターンを確認したりするのに助けが必要ですか? ログ ソリューションは、ITOps チームの作業を増やすことなく、ログから貴重な情報を取得するのに役立ちます。 そのため、LogicMonitor はログ データに基づいてオートコンプリート機能を提供します。 環境内の問題や外れ値をすばやく特定しながら、目の前のタスク、つまりそれらを修正することに多くの時間を費やすことができます。

オートコンプリートは、IT 環境に基づいて提案を提供します。 クエリ バーに入力を開始すると、オートコンプリート メニューが開き、lgo データと入力した情報に基づいてオプションのリストが表示されます。 また、リストからフィールドを選択するか、名前を直接入力するかに関係なく、オートコンプリートは同じフィールドの可能な値を提案します。

まず、クエリ バーにアンダースコアを入力します。 オートコンプリート機能により、リソース名、リソース グループ、異常の種類、アラートの重大度などの予約済みフィールドのリストが表示されます。 フィルター クエリには、論理演算子と組み合わせた値とフィールドを含めることもできます。 

より多くのキーワードを入力すると、オートコンプリートは、さらに分析するためにログ データをドリルダウンするのに役立つ提案を続けます。 以下の例では、LM Logs は、分析するさまざまな種類のアラート重大度、リソース グループ、およびリソース名を提供しています。 

LogicMonitor での異常タイプのログ入力
異常操作を LogicMonitor に記録します。

ログベースの異常検出によりノイズをカット

LM ログの異常検出は、膨大な量のログ データを調べるためのまったく異なるアプローチです。 すぐに使用できるログベースの異常検出により、注意が必要な問題が明らかになり、必要な情報を取得するために過度の検索や解析を行う必要がなくなります。

「異常を表示」ボタンをクリックするだけで、関連する IT コンテキストを使用して目の前にあるログ データ内の目に見えない動作を発見できるため、根本原因をより迅速に見つけることができます。 LM Logs は、独自のアルゴリズムを使用して、取り込み時にログとイベント データを自動的に分析します。 ログ イベントは、特定のデバイス、システム、Kubernetes ポッド、またはクラウド インスタンスに以前に表示されていない場合、異常と見なされます。 これにより、ログ全体の可視性が確保され、チームはシステムの健全性をプロアクティブに管理できます。 特定のイベント パターンに基づいてアラートを構成し、発生したイベントの数、発生時期、および理由を示すこともできます。 ログ イベントの詳細は、分析のために明確に表示されます。 

LM ログは、重要なログ イベントをメトリックベースのアラートおよび対応するインフラストラクチャ リソースと関連付けて、アクティブなトラブルシューティングのコンテキストを即座に取得します。 ログの異常を追跡して、さらに注意が必要なものを調査します。単一のクエリは必要ありません。 

LogicMonitor に表示されるアラート。

キーワードを使用して検索することもできます。 単純なフリーテキスト検索では、一致する生のログ メッセージのみが検索されます。 キーワード機能は、メッセージ フィールドにキーワードが含まれるログのみを検索して表示します。 これは、特定の文字列または値のすべてのログ メッセージを検索する場合に役立ちます。 

手始めに、「エラー」というキーワードで検索することをお勧めします。 この検索で​​は、メッセージにキーワード「エラー」が存在するログ データのみが表示されます。

始めやすい、続けやすい

興味深く関連性のあるログ結果を特定できれば、すべての労力が無駄になることはありません。 いつでも最近の検索を表示し、LM ログ内に検索を保存することもできます。 クエリ バーの左側にある時計アイコンをクリックして、最近の検索を表示および管理することもできます。 このメニューには、履歴の最後の 10 件の検索が表示されます。 リストから検索をクリアしたり、リストから特定の個人を削除したりすることもできます。 

もう XNUMX つの優れた機能は、将来の分析のためにログ検索を保存する機能です。 クエリ バーの右側にあるスター アイコンをクリックして、検索を保存します。 

中断したところから再開することで、ログ データを制御しやすくなり、新しいログ アラートの作成など、このデータをより大きな LM Envision ワークフローに組み込むことができます。 

LogicMonitor の最近の検索ドロップダウン。

高度な検索でログ データを管理する

すべてのユーザーのログには、検索用にログ ボリュームを絞り込むためのより正確な方法も含まれています。 オートコンプリート、異常検出、キーワード検索は、検索を続けるための構成要素です。 「and/or/not」の単純な演算子はクエリの始まりを作成します。 パターン マッチングは、特定のフィールド値の検索に役立ちます。 および高度な演算子により、検索を完全に制御できます。

検索できるパターンには、完全一致とあいまい一致の XNUMX 種類があります。

完全一致は、パターンがフィールド値と正確に一致する場合にのみイベントを返します。 たとえば、 「フィールド=正確」 でしょう フィールドの値が「exact」のログのみを検索して表示します。  

これは、次のように、一致させたい正確な値がわかっている場合に使用する優れた検索パターンです。 _resource.name=winserver01。 この検索で​​は、ログ テーブル内のリソース「winserver01」に関連付けられたログのみが返されます。

何を検索したいかはわかっていても、フィルタリングのヘルプが必要な場合があります。 あいまい一致機能は、類似したフィールド値に一致するグロブ式を使用してイベントを返します。 このタイプの一致では、大文字と小文字が区別されません。 完全一致が必要ない場合は、このタイプの検索を使用します。 そのため、あいまい一致と呼ばれます。 たとえば、違いがわかりますか? あいまい一致で「_resource.name~winserv01」を検索すると、「winserver01」、「winserver02」などを含む「winserver」を含むリソースに関連付けられたログが返されます。ヒント: 違いは、=winserver ではなく ~winserver でした。

LogicMonitor の Kubernetes 検索行

直感的なフィルターの論理演算子

検索するもう XNUMX つの方法は、「and」、「or」、または「not」などの基本的な論理演算を追加して、ログ データをフィルター処理することです。 独自の環境で試すことができる XNUMX つの一般的な例を次に示します。

  • AND 指定されたすべてのフィールドと値を含むログを検索します。 _resource.name=winserver01 AND type=winevents. これにより、winserver01 に関連付けられたすべてのログ データが表示され、type フィールドに winevents も含まれます。
  • または、指定されたフィールドと値を XNUMX つ以上含むログを検索します。 _resource.group.name=”Linux サーバー” または _resource.name~linux. これにより、「Linux Servers」リソース グループ内のリソースのすべてのログ、またはリソース名に「linux」という語句が含まれる任意のリソースが表示されます。
  • NOT 指定されたフィールドまたは値以外のログを検索します。 NOT _resource.name=winserver01 は、winserver01 以外のリソースからのすべてのログ データを表示します。
LogicMonitor の AND NOT 演算子ロジック

クエリをさらに制御する必要がありますか? 高度な検索を試す 

LM ログの高度な検索には、ログ データを検索して結果を変更する方法を絞り込むための集計、処理、および書式設定演算子が含まれます。  

フィルタリング後、高度な検索操作をクエリに追加します。 これらの操作は一連のイベントに基づいて順番に実行され、XNUMX つの操作の結果が次の操作に組み込まれます。 検索時にイベントに作用する操作 (フィールドの解析) もあれば、結果を得るために制限と呼ばれる部分的なセット、または並べ替えと呼ばれる完全なセットが必要な操作もあります。 [集計] タブで高度な検索結果を表示できます。 

集計の例には、avg、count、max、min、sum などがあります。

これらの高度な演算子を使用して作成できるクエリの種類には無限の可能性があります。  

例 1: 次のクエリを使用して、一意のリソース名ごとにサイズ フィールドの合計を計算し、結果を並べ替えることができます。 

* | | sum(_size) as log_volume by _resource.name | log_volume 降順で並べ替え

例 2: または、一意のリソースごとにイベント数をカウントするが、結果を 15 に制限する検索を作成します。  

* | | _resource.name でカウント | _count 降順で並べ替え | リミット 15

例 3: ログの数とログ サイズの合計を含むリソース グループ名を表示する検索を次に示します。これは、ログの数で並べ替えられ、25 に制限されています。

* | | count(_size), sum(_size) by resource.group.name | _count 降順で並べ替え | リミット 25

例 4: HTTP 要求の最小、最大、および平均応答時間を HTTP 応答コード別に表示する

正規表現を使用してログ メッセージから値を解析し、結果を集計します。

例 5: 正規表現を使用してログ メッセージから値を解析し、結果を集計します。

GET メソッドを示すログ

できません MTTRを減らす ログデータの分析を開始できない場合! 検索、クエリの作成、またはログ データの解析の経験レベルに関係なく、従来のログ分析ツールがもたらしたフラストレーションを捨てて、ログ データの管理に取り掛かる時が来ました。 

組織がロギング ツールの使用を検討している、または使用を開始したばかりの場合は、LM ログを使用して注意が必要な問題を明らかにすることで、時間とフラストレーションを節約し、MTTR を短縮できます。

次に何をすべきかわからないことを心配しないでください。 LM Envision の統合されたログとメトリックにより、トラブルシューティングと分析への道を継続する手段が常に確保されます。 運用チームがログ データの使用を検討している、または開始したばかりである場合、今が最適な時期です。