既存のフィールドのリストを使って、フィールドの特定の値でログ イベントを検索できます。

重要: vRealize Log Insightは、完全な英数字、ハイフン、アンダースコアの文字をインデックス化します。

前提条件

ユーザー ロールまたは関連する権限を持つロールに関連付けられたユーザーとして vRealize Log Insight の Web ユーザー インターフェイスにログインしていることを確認します。詳細については、『vRealize Log Insight の管理』のロールの作成と変更を参照してください。Web ユーザー インターフェイスの URL 形式は https://log_insight-host です。log_insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。

手順

  1. メイン メニューを展開し、[ログの確認] をクリックします。
  2. [フィルタの追加] をクリックします。
  3. 検索テキスト ボックスの下のフィルタ行で、最初のドロップダウン メニューを使用して、vRealize Log Insight 内で定義された任意のフィールドを選択します。
    たとえば、 [hostname][text][_index] などです。 [_index] フィールドを選択すると、既存のインデックス パーティションからログをクエリできます。これにより、パーティション フィルタに基づいてイベントの特定のサブセットがリストされ、すぐに結果が表示されます。
    リストには、コンテンツ パックとカスタム パック内で静的に使用できるすべての定義済みフィールドがあります。 [text] および [_index] フィールド以外のフィールドは名前で並べ替えられます。 [text] はメッセージ テキストを参照する特別なフィールドであるため、 [text] はリストの最上部に表示され、デフォルトで選択されています。 [_index] はインデックス パーティションを参照する特別なフィールドでもあるため、リストの [text] フィールドの後に [_index] が表示されます。
    注: 数値フィールドには、文字列フィールドにはないその他の演算子が含まれています: [=][>][<][>=][<=]。 これらの演算子は数値比較を実行し、文字列演算子を使うよりも多様な結果を生成します。たとえば、フィルタ [response_time] [=] 02 は、値が 2 の [response_time] フィールドを持つイベントに一致します。 フィルタ [response_time] [contains] 02 は、上記と同じ一致にはなりません。
  4. 検索テキスト ボックスの下のフィルタ行で、2 番目のドロップダウン メニューを使用して、最初のドロップダウン メニューで選択したフィールドに適用する操作を選択します。
    例:
    • [is] または [is not] を選択します。これらのフィルタは完全な名前を照合します。[_index] フィールドに [is] を使用すると、指定したインデックス パーティションに格納されているすべてのイベントを照合します。[_index] フィールドに [is not] を使用すると、指定したインデックス パーティションに格納されていないすべてのイベントを照合します。
    • [contains] を選択します。[contains] フィルタは、フル トークンに一致します。「err」で検索した場合、「error」は一致として検出されません。[_index] フィールドに [contains] を使用すると、既存のすべてのインデックス パーティションのグローバル パターンを照合します。
  5. フィルタ ドロップダウン メニューの右にあるテキスト ボックスに、フィルタとして使用する値を入力します。
    複数の値をカンマで区切って挙げることができます。これらの値の演算子は OR です。
    注: 2 番目のドロップダウン メニューで [exists] 演算子を選択した場合、テキスト ボックスは使用できません。
  6. (オプション) さらにフィルタを追加する場合は、[フィルタの追加] をクリックします。
    注: [_index] フィールドを使用して、1 つのフィルタのみを追加できます。ただし、 [_index] フィールドを含むフィールドを追加した後に、他のフィールドを使用してフィルタを追加することができます。
    フィルタ行の上にトグル ボタンが表示されます。
  7. (オプション) 複数のフィルタ行の場合は、フィルタ間の演算子を選択します。
    オプション 説明
    すべて フィルタ行の間に AND 操作を適用する場合に選択します。
    任意 フィルタ行の間に OR 操作を適用する場合に選択します。
    デフォルトでは、 [all] が選択されています。
    注: [_index] フィールドは、補足フィールドと見なされます。このフィールドをフィルタに含めると、そのフィルタは AND 演算子を使用して他のフィールドを含むフィルタと結合されます。ただし、OR 演算子を選択して、フィルタを [_index] 以外のフィールドと組み合わせることができます。
  8. [検索] ボタンをクリックします。

例: 名前に共通の文字列があるホスト グループを検索する

複数のホストの中に、w1-stvc-205-prod3 という名前のホストと w1-stvc-206-prod5 という名前の別のホストがあるとします。

両方のホストのログをすべて検索するには、次のクエリを作成します。

  1. [検索] テキスト ボックスを空のままにします。
  2. フィルタを定義します。
    1. 最初のドロップダウン メニューで [hostname] を選択します。
    2. 演算子ドロップダウン メニューで [starts with] を選択します。
    3. 値のテキスト ボックスに w1-stvc と入力します。

    または、[contains] 演算子を使用できます。ただし、検索値に glob を使用する必要があります。この例では、値のテキスト ボックスに w1-stvc-* と入力する必要があります。

  3. [検索] ボタンをクリックします。

次のタスク

現在のクエリを保存して、後の段階でロードすることができます。