サポートセンターホーム


ログ検索に関するチートシート

このチートシートの使用法は、 LMログクエリ言語.

予約フィールド

LogicMonitorの予約済みフィールドは、先頭の下線で示されます。 何を検索すればよいかわからない場合は、クエリバーにアンダースコアを入力して、予約済みフィールドのリストを表示することから始めることができます。

予約済みフィールドのオートコンプリートの提案
フィールド 製品説明
_alert.severity 警告、エラー、重大の可能性があるアラートの重大度レベル。
_anomaly.type never_before_seenなど、検出された異常のタイプ。
_メッセージ ログのメッセージフィールド。 フィールド名が指定されていない場合、_messageフィールドがデフォルトの検索フィールドになります。
_resource.group リソースグループのフルパス。
_resource.group.id リソースグループIDまたはデバイスグループID。 注:これらの値は、オートコンプリートによって提供されない場合があります。
_resource.group.name 最後のスラッシュの後のフルパスの一部であるリソースグループの名前。
_resource.id リソースIDまたはデバイスID。 注:これらの値は、オートコンプリートによって提供されない場合があります。
_resource.name リソースまたはデバイスの名前。

論理演算子

論理演算子を使用した検索では、フィルターを組み合わせるためのNOT、AND、およびORがサポートされています。

演算子 製品説明
そして 指定されたすべてのフィールドと値を含むログを検索します。 _resource.name=winserver01 AND type=winevents

winserver01に関連付けられているすべてのログを表示し、タイプフィールドにwineventsも含まれます。
OR 指定されたXNUMXつ以上のフィールドと値を含むログを検索します。 _resource.group.name="Linux Servers" OR _resource.name~linux

「Linuxサーバー」リソースグループ内のリソース、またはリソース名に「linux」を含むリソースのすべてのログを表示します。
NOT 指定されたフィールドまたは値以外のログを検索します。 NOT _resource.name=winserver01

winserver01を除くすべてのリソースからのすべてのログを表示します。

パターンマッチング

キーワード一致

すべてのフリーテキスト検索は検索します の 一致の生のログメッセージ。

クエリー 製品説明
keyword メッセージフィールドでキーワードが見つかったログのみを検索して表示します。 すべてのログメッセージで文字列または値を検索する場合に使用します。

これは、以前のLogicMonitorLogsキーワード検索と同じように機能します。
error

メッセージフィールドにエラーが含まれているログのみがログテーブルに表示されます。

完全に一致

パターンがフィールド値と完全に一致する場合、イベントを返します。

クエリー 製品説明
field=word フィールドに値wordがあるログのみを検索して表示します。

一致させたい正確な値がわかっている場合に使用します
_resource.name=winserver01

リソース「winserver01」に関連付けられたログのみがログテーブルに表示されます。
field=word1,word2,word3 フィールドの値がword1OR word2 ORword3であるログのみを検索して表示します。 コンマはOR演算子を表します。

一致させたい正確な値が複数ある場合に使用します。
_resource.name=winserver01,winserver02,winserver03

リソース「winserver01」、「winserver02」、または「winserver03」に関連付けられたログのみがログテーブルに表示されます。
field="word with special characters" 二重引用符を使用して、フィールド値の特殊文字をキャプチャします。 フィールドが「特殊文字を含む単語」と等しいすべてのログを検索します。

正確な値がわかっていて、値に特殊文字が含まれている場合に使用します。 パターンにハイフンや空白などの特殊文字が含まれている場合は、二重引用符が必要です。 非特殊文字セットは[a-zA-Z0-9 *]です。
_resource.name="win-server01"

リソース「win-server01」に関連付けられたログのみがログテーブルに表示されます。

あいまい一致

同様のフィールド値に一致するglob式を使用してイベントを返します。 あいまい一致では大文字と小文字は区別されません。

クエリー 製品説明
field~word フィールドに単語が含まれているログのみを検索して表示します。

完全一致を望まず、あいまい一致が必要な場合に使用します。
_resource.name~winserver01

「winserver」を含むリソースに関連付けられたログのみが表示されます。これには、「winserver01」、「winserver02」、「winserver03」、「winserver03west」などが含まれます。
field~word1,word2,word3 フィールドにword1OR word2 ORword3のいずれかが含まれているログのみを検索して表示します。 コンマはOR演算子を表します。

複数の値であいまい一致が必要な場合に使用できます。
_resource.name~winserver,linuxserver,firewall

「winserver」、「linuxserver」、「firewall」などを含むリソースに関連付けられたログのみが表示されます。 これには、「winserver01east」、「winserver03west」、「nonprodserver」などのリソースが含まれます。
field~"word with special characters" 二重引用符を使用して、フィールド値の特殊文字をキャプチャします。 フィールドに「特殊文字の単語」が含まれているすべてのログを検索します。

パターンにハイフンや空白などの特殊文字が含まれている場合は、二重引用符が必要です。 非特殊文字セットは[a-zA-Z0-9 *]です。
_resource.name~"win-server01"

「win-server01」を含むリソースに関連付けられたログのみが表示されます。これには、「win-server01」、「win-server01-east」、「win-server01-west」などが含まれます。

正規表現の一致

フィールド値に一致する正規表現を使用してイベントを返します。 正規表現は、フロントスラッシュ//の内側に配置する必要があります。

クエリー 製品説明
/regex/ メッセージフィールドに正規表現が含まれているログを検索して表示します。

特定の構造(IPアドレス、一意の識別子など)を含むログを検索する場合に使用します。
/\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b/

メッセージフィールドにIPアドレスを含むログのみが表示されます。

/\b[0-9a-f]{8}\b-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-\b[0-9a-f]{12}\b/

一意の識別子構造を含むログのみが表示されます。
field~/regex1/,/regex2/ フィールドにregex1またはregex2式のいずれかが含まれているログを検索して表示します。

複数の値で正規表現を一致させる場合に使用します。

トラブルシューティング

エラーの解析

クエリに解析エラーがある場合は、構文が正しくないことが原因である可能性があります。

  1. パターンに特殊文字が含まれるすべてのパターンが二重引用符で囲まれていることを確認してください。
  2. 二重引用符がある場合は、それらが正しい二重引用符文字であることを確認してください。
  3. 正規表現パターンの「//」内に適切にエスケープされた文字が含まれていることを確認してください。

タイムアウトエラー

生ログの場合、タイムアウトは2分です。 検索の時間範囲が長すぎる場合(30日など)、タイムアウトが発生する可能性があります。これは、検索している取り込みログの量によって異なります。 検索にタイムアウトエラーがある場合は、時間範囲を短くすることをお勧めします。

記事上で