検索コマンドの理解
ログ分析用の検索言語を使用すると、検索結果に対して実行するアクションを指定できます。
コマンドには検索コマンドと統計コマンドがあります。
検索コマンド
検索コマンドは、使用可能なログ・エントリをさらにフィルタ処理するためのコマンドです。
次の表に検索コマンドの一覧を示し、それぞれについて簡単に説明します。
| コマンド | 説明 |
|---|---|
addfields |
このコマンドを使用して、linkコマンドによって識別されたグループ内の集計データを生成します。
「Addfieldsコマンド」を参照してください。 |
addinsights |
このコマンドを使用して、各ログ・レコードに追加のインサイト情報を表示します。
「Addinsightsコマンド」を参照してください。 |
bottom |
このコマンドを使用して、指定フィールドによって決定された集計の最小値を含む結果を、指定の数だけ表示します。
Bottomコマンドを参照してください。 |
bucket |
このコマンドを使用して、フィールドの値の範囲に基づいてログ・レコードをバケットにグループ化します。
「Bucketコマンド」を参照してください。 |
classify |
このコマンドを使用して、linkコマンドによって識別されるグループのプロパティをクラスタ化します。
「Classifyコマンド」を参照してください。 |
cluster |
このコマンドを使用して、類似したログ・レコードをグループ化します。
Clusterコマンドを参照してください。 |
clustercompare |
このコマンドを使用すると、1つのクラスタ・コレクションを別のクラスタ・コレクションと比較したり、現在の範囲に排他的に存在するクラスタとベースライン範囲に存在するクラスタを表示できます。
「Clustercompareコマンド」を参照してください。 |
clusterdetails |
このコマンドを使用して、類似したログ・レコードを返します。
Clusterdetailsコマンドを参照してください。 |
clustersplit |
このコマンドを使用して、クラスタ内のログ・データを特定の分類結果の表形式で表示します。
「Clustersplitコマンド」を参照してください。 |
compare |
このコマンドを使用して、linkコマンドによって生成されたプロパティを、指定した比較間隔と比較します。
「コマンドの比較」を参照してください。 |
createview |
このコマンドを使用して、linkコマンドで識別されるグループのサブセットを作成する副問合せを定義します。
「Createviewコマンド」を参照してください。 |
distinct |
このコマンドを使用して、返された結果から重複を除去します。
Distinctコマンドを参照してください。 |
eval |
このコマンドを使用して、式の値を計算し、その値を新しいフィールドに表示します。
「Evalコマンド」を参照してください。 |
eventstats |
このコマンドを使用して、linkコマンドによって識別されるグループのプロパティに対し、オプションでフィールドごとにグループ化された全体的なサマリー統計を取得します。 その出力には、集計ごとに1つのフィールドが含まれます。
「Eventstatsコマンド」を参照してください。 |
fields |
このコマンドを使用して、結果に対して追加または削除するフィールドを指定します。
Fieldsコマンドを参照してください。 |
fieldsummary |
指定したフィールドのデータを戻すには、このコマンドを使用します。
「Fieldsummaryコマンド」を参照してください。 |
head |
headコマンドを使用して、最初のn件の結果を表示できます。
「Headコマンド」を参照してください。 |
highlightgroups |
このコマンドを使用して、linkコマンドで識別されるグループのプロパティで文字列または検索基準を照合し、リンク視覚化で強調表示します。
「Highlightgroupsコマンド」を参照してください。 |
highlightrows |
文字列または文字列のリストを照合し、ログUIで行全体を強調表示するには、このコマンドを使用します。
「Highlightrowsコマンド」を参照してください。 |
highlight |
文字列または文字列のリストを一致させ、ログUIで強調表示するには、このコマンドを使用します。
「Highlightコマンド」を参照してください。 |
link |
このコマンドを使用して、ログ・レコードを高レベルのビジネス・トランザクションにグループ化します。
「Linkコマンド」を参照してください。 |
lookup |
このコマンドを使用して、フィールド値の参照を起動します。
「ルックアップ・コマンド」を参照してください。 |
map |
このコマンドを使用して、linkコマンドで識別されるグループとビューを結合し、新しいプロパティを作成します。
「Mapコマンド」を参照してください。 |
nlp |
このコマンドを使用して、自然言語処理アルゴリズムをテキスト・フィールドに適用します。
「NLPコマンド」を参照してください。 |
regex |
このコマンドを使用して、指定した正規表現でデータをフィルタ処理します。
「Regexコマンド」を参照してください。 |
rename |
このコマンドを使用して、フィールドの名前を変更します。
「renameコマンド」を参照してください。 |
search |
このコマンドを使用して、使用可能なログ・データから特定の論理式を取得します。
Searchコマンドを参照してください。 |
searchLookup |
このコマンドを使用して、参照表から内容を取得します。
「SearchLookupコマンド」を参照してください。 |
sort |
このコマンドを使用して、指定フィールドに基づいてログをソートします。
Sortコマンドを参照してください。 |
tail |
このコマンドを使用して、結果の最後のn数を表示します。
「Tailコマンド」を参照してください。 |
timecluster |
このコマンドを使用して、時系列チャートを相互に類似する方法に基づいてグループ化します。
「Timeclusterコマンド」を参照してください。 |
top |
このコマンドを使用して、指定フィールドによって決定された集計の最大値を含む結果を、指定の数だけ表示します。
Topコマンドを参照してください。 |
where |
このコマンドを使用して、式の値をtrueまたはfalseに計算します。
「Whereコマンド」を参照してください。 |
統計コマンド
統計コマンドは検索結果に対して統計処理を実行します。
次の表に、サポートされている統計コマンドの一覧を示し、各コマンドについて簡単に説明します。
| コマンド | 説明 |
|---|---|
distinct |
このコマンドを使用して、検索結果から重複したエントリを除去します。
Distinctコマンドを参照してください。 |
stats |
このコマンドを使用して、検索結果のサマリー統計を提供します。指定したフィールドに基づいてグループ化することもできます。
Statsコマンドを参照してください。 |
timestats |
このコマンドを使用して、一定期間内の統計の傾向を示すデータを生成します。指定したフィールドによってグループ化することもできます。
Timestatsコマンドを参照してください。 |