フィールドは、構造化されていないイベントを構造化し、データのテキストおよびビジュアル表示の両方の操作を可能にする有効な手段となります。
フィールドは、集約やフィルタなどさまざまな方法で使用できるため、コンテンツ パックの最も重要な項目の 1 つになります。集約を使用すると、関数とグループ化をフィールドに適用できます。フィルタを使用すると、複数のフィールドにわたって操作を実行できます。
クエリまたは集約に適用できる可能性のあるログ メッセージの部分をすべて抽出する必要があります。フィールドは正規表現クエリのタイプに属し、複雑なパターン マッチングで役立つため、ユーザーは複雑な正規表現を知り、記憶し、学習する必要がありません。
フィールドのコンテキスト値 | 定義 |
---|---|
Regex before value | 可能な限り多くのキーワードを含めます。このフィールドが空か、特殊文字のみを指定している場合、Regex after value にキーワードを含める必要があります。 |
Regex after value | 可能な限り多くのキーワードを含めます。このフィールドが空か、特殊文字のみを指定している場合、Regex before value にキーワードを含める必要があります。 |
名前 | 英数字のみを使用します。すべての文字を小文字にし、スペースの代わりにアンダースコアを使用してください。アンダースコアを使用すると、フィールドが見やすくなります。コンテンツ パック フィールドとユーザー フィールドの名前は同じにすることができる点に留意してください。ただし、コンテンツ パック フィールドの場合、フィールド名の右にカッコで囲んだ名前空間があります。コンテンツ パック フィールドには、vmw_ のようにプリフィックスを付けて混乱を防ぎます。 |
キーワード検索語句 | フィールドを含むイベント内に表示される 1 つまたは複数のキーワードを、スペースで区切って指定します。 |
フィルタ | 固定フィールドや演算子を指定したり、フィールドを含むイベント内に表示される可能性のある値を指定することができます。 これは、キーワードを含まないイベントに対して、VMware Aria Operations for Logs エージェントおよびタグと組み合わせて使用することが一般的です。 |
情報([i] ボタン) | フィールドの意味や返される可能性のある値を示したり、人間が理解できる情報に値をわかりやすくマッピングするなど、フィールドに関する情報を提供するために使用されます。 |
ベスト プラクティス
フィールドを構成する各種要素に加えて、複数のベスト プラクティスを適用します。
- 正規表現パターン用のフィールドのみを作成します。キーワード クエリを使用してクエリを実行できることができる場合、またはクエリから 1 つの値のみが返される場合は、定義済みのフィールドの代わりにキーワード クエリを使用します。フィールドから 2 つの値のみが返される場合は、フィールドを抽出する代わりに、個別のクエリを作成することを検討してください。フィールドは、構造化されていないデータを構造化し、イベントの特定の部分のクエリを実行するためのものです。
- 全イベントのごく一部を返す、正規表現パターン用のフィールドのみを作成します。フィールドがほとんどのイベントに一致する場合、または大量の結果を返す場合、それらはフィールド抽出に適した候補ではありません。正規表現は大量のイベントに適用する必要がありますが、リソースを大量に使用します。可能であれば、キーワードをさらに追加することで、返される結果の数を減らし、クエリを最適化してください。
- フィールドの正規表現構文内にキーワードが含まれる場合は、そのようなキーワードを、正規表現構文なしでフィルタとして追加します。たとえば、フィールドの値またはコンテキストの正規表現構文内にキーワード(this|that など)が含まれる場合、これらのキーワードをテキスト フィルタとして追加して、text contains this, that のようにクエリを最適化します。
- クエリの実行前または実行後のコンテキストで、複雑な正規表現に対して 1 つまたは複数のキーワードを持つ追加コンテキストを使用することをお勧めします。
- クエリのパフォーマンスを最適化するために、すべての抽出済みフィールドに追加コンテキストを追加します。