Oracle Logging Analyticsでは、最近使用した検索を選択して実行できます。「検索」フィールドをクリックするか、「検索」フィールドにテキストを入力すると、Oracle Logging Analyticsに最近使用した検索のリストが表示されます。これにより、最近使用した検索コマンドに迅速にアクセスできます。リストされているコマンドのいずれかを選択して「実行」をクリックすると、選択した検索コマンドを実行できます。

Oracle Logging Analyticsユーザー・インタフェースでは、検索問合せを構成できます。

UIの次の要素を使用して、検索問合せを構成できます:

• 検索バー: 検索問合せがここに表示されます。このフィールドのテキストを直接編集して、検索結果を絞り込むことができます。

  検索バーは、問合せに追加された行数に基づいて拡大または縮小します。最大で21行、最小で1行を設定できます。使用可能なカスタム・ショートカットの一部は次のとおりです:

  • [Ctrl] + [i]: エディタに存在するテキストのすべての行をインデントします。大文字の[I]ではデバッガが開くことに注意してください。
  • [Ctrl] + [Enter]: エディタに表示されている問合せを実行します
  • [Ctrl] + [Space]: カーソルの位置に基づいてオプションのオートコンプリート・リストを表示します
  • [Ctrl] + [Z]: 最後の編集を元に戻します
  • [Ctrl] + [Y]: 最後の編集を再実行します
  • [Ctrl] + [D]: 現在の行を削除します

  ノート: 指定がないかぎり[SHIFT]キーは使用しないでください。

  開始カッコまたは終了カッコにカーソルを置くと、一致する要素が強調表示されます。強調表示できる要素は、( )および[ ]です。

  検索バーでは、色付きとグレースケールの2つの異なるテーマがサポートされます。ヘルプ・ポップアップのオプションを変更して、テーマを動的に変更できます。

• フィールド: 「フィールド」パネルは次のセクションに分かれています:

  • 「固定」の属性では、次に基づいてログ・データをフィルタできます:

    • ログ・ソース(データベース・ログやOracle WebLogic Serverログなど)。

    • ログ・エンティティ(実際のログ・ファイル名)。

    • ラベル(ログ・エントリが特定の定義済条件と一致するときにログ・エントリに追加されるタグ)。

    • オンデマンドでアップロードされたログ・データのアップロード名。

    デフォルトでは、エンティティおよび収集の詳細は、フィルタ用として「フィールド」パネルの「固定」バケットで使用できます。使用状況に応じて、「固定」バケットに追加フィールドを固定できます。固定されると、フィールドは「固定」バケットに移動されます。任意のフィールドの固定を解除し、「固定」バケットから削除して、「関心」または「その他」バケットに戻すことができます。

  • 検索および問合せに基づいて、Oracle Log Analyticsでは、迅速に参照できるようにフィールドが「関心」バケットに自動的に追加されます。「関心」バケットの使用可能なフィールドを固定できます。固定されたフィールドは、「固定」バケットに移動されます。

  • 「その他」バケットの任意のフィールドを固定して、「固定」バケットに移動できます。検索または問合せで「その他」バケットのフィールドを使用すると、それは「関心」バケットに移動されます。

    選択したオプションは、検索バーの問合せに自動的に追加されます。

• ビジュアル化: このペインでは、検索結果の表示方法を選択できます。「グループ化基準」フィールドで、結果をグループ化するためのメトリックを決定できます。

• 保存: このボタンを使用して、後で実行するために、現在「検索」フィールドにある検索問合せを保存します。

• 開く: このボタンを使用して、前に保存した検索問合せを表示します。これらの問合せを実行して最新の結果を取得したり、これらの問合せを使用してダッシュボードを作成したりできます。

• 新規: このボタンを使用して、新しい検索問合せを開始します。

• エクスポート: このボタンを使用して、現在の検索問合せの結果をComma Separated Values(CSV)またはJavaScript Object Notation(JSON)形式のファイルでエクスポートします。

• 実行: このボタンを使用して、現在「検索」フィールドにある問合せを実行します。

• 時間セレクタ: 時間セレクタを使用して、期間を指定します。

• ビジュアライゼーション・ペイン: 検索問合せの結果がこのペインに表示されます。「検索」フィールドの問合せが実行されると、このペインにフィルタされた情報がロードされます。ビジュアライゼーション・ペインのチャートの任意の領域をクリックすると、検索問合せにドリルダウンしてそれを更新できます。

文字列問合せには、キーワードとフレーズを含めることができます。キーワードは単一の単語(databaseなど)で、フレーズは一重(‘ ‘)または二重(“ “)引用符で囲まれた複数の単語(‘database connection’など)を示しています。キーワードまたはフレーズを問合せに指定すると、問合せの実行後、指定したキーワードまたはフレーズを含むすべてのログ・エントリが返されます。

Oracle Logging Analyticsの検索言語では、特別なパターン・マッピングもサポートされています。つまり、アスタリスク(*)、疑問符(?)、パーセント記号(%)などのワイルドカード文字を使用してキーワードを指定できます。

次の表は、サポートされるワイルドカード文字のリストとそれぞれの簡単な説明を示しています。

複数のキーワードを指定できます。たとえば、databaseとconnectionです。databaseとconnectionという単語(連続している必要はない)を含むログが返されます。ただし、これらの単語は、連続して出現している必要はありません。ただし、単語を引用符で囲み、フレーズとして問合せ文字列に含めることで(‘database connection’など)、‘database connection’というフレーズを含むログのみが返されます。複数のキーワードの使用方法は、ブール式の使用を参照してください。

キーワードまたはフレーズを指定する場合、次に注意してください:

• キーワードおよびフレーズ文字列では、大/小文字が区別されません。

• キーワードを引用符で囲まない場合は、英数字、アンダースコア(_)およびワイルドカード文字(*、%および?)のみを含める必要があります。

• キーワード検索で、部分文字列が個別のディレクティブと解釈される可能性がある場合は、引用符で囲んで特定する必要があります。たとえば、文字列andを検索するには、システムがブールの意味で使用しないように、一重引用符内にそれを入力(‘and’)する必要があります。

ORA-* AND message LIKE 'connection* error*'

ORA-* AND message LIKE IN ('tablesp*','connection* error*')

比較演算子は、フィールドとその値の関係を立証するために指定する条件です。値がないフィールドは、nullとみなされます。

次の表は、サポートされる比較演算子のリストとそれぞれの簡単な説明を示しています。

これらの演算子を使用して、特定の値を持つフィールドを含むログを検索します。たとえば、Severity=’ERROR’と指定すると、使用可能なログのうち、フィールドSeverityの値がERRORであるものが検索されます。同様に、Severity!=NULLでは、Severityフィールドの値がnullではない(つまり、重大度が指定されている)すべてのログが返されます。

Oracle Logging Analyticsの検索機能には、標準の表記規則に従ってLIKEおよびREGEXの機能があります。ブール式は、trueまたはfalseの値を持つことができます。

次の表は、サポートされるブール式のリストとそれぞれの簡単な説明を示しています。

Oracle Logging Analyticsの検索言語では、他のブール式内にブール式をネストできます。たとえば、次の問合せについて考えます:

fatal ('order' OR host LIKE '*.oracle.com')

この問合せを実行すると、fatalを含み、キーワードorderを含んでいるか、名前が.oracle.comで終わっているホストからのすべてのログが返されます。

Oracle Logging Analyticsユーザー・インタフェースを使用して、検索問合せを構成できます。

デフォルトで、* | stats count by ‘log source’という問合せが「検索」フィールドに指定されます。

通常、ログ・エクスプローラで選択した時間範囲は問合せ文字列に含まれません。問合せの時間範囲を指定するには、searchコマンドの絶対時間または相対時間修飾子を使用します。

問合せで時間範囲を指定できる例を次に示します。

• 過去24時間以内に検出されたすべてのORA-600エラー・ログを返します:

  Message like 'ORA-600%' and time > dateRelative(24h)

• 過去90日間のホスト・ターゲットmyHostのログ数を返します:

  'Host Name (Server)' = myHost and Time > dateRelative(90day) | stats count as 'Num Host Logs'

time between '2014-07-15T16:24:51.000Z' and '2014-07-17T18:14:16.000Z'

time between toDate('2014-07-12', 'yyyy-MM-dd') and toDate('2014-07-15', 'yyyy-MM-dd')

time between * AND dateRelative(12h)

time > dateRelative(12h)

time > dateRelative(30min, hour)

副問合せによって、子問合せは、親問合せに動的フィルタを提供できます。副問合せは最初に評価され、その結果が親問合せで使用されます。

• 副問合せを相互にネストしたり、同じレベルで複数の副問合せを持つ特定の問合せをネストしたりできます。
• デフォルトでは、副問合せはグローバル時間範囲を継承しますが、必要に応じてtime between T1 and T2構文を使用してオーバーライドできます。
• 副問合せは、最初の2000個の一致のみが親への入力として返されるように制限されています。その他の結果は切り捨てられます。
• 完了までの最大タイムアウトは30秒です。
• 副問合せから返されるすべてのフィールドは、親問合せのフィールドと名前が一致している必要があります。それ以外の場合はエラーになります。
• 副問合せは、検索コマンド内でのみ使用できます。
• 副問合せ内では、cluster、clustersplit、clustercompare、fieldsummary、delete、classify、highlightおよびhighlightrowsを除くすべてのコマンドを使用できます。

例:

• 時系列でIPブラックリストからのトラフィックをチャート化:

  [searchlookup table=ip_blacklist | distinct ip | rename ip as 'host address'] | timestats count

• E-Commerceサイトの上位ユーザーに最も購入された製品をリスト:

  'Log Source'='WLS Access Logs' status=200 action=purchase ['Log Source'='WLS Access Logs' status=200 action=purchase | stats count by 'Host (Client Address)' | top limit=1 'Host(Client Address)' | fields -*, 'Host (Client Address)'] | lookup table=products select 'product name' using productid | stats count, distinctcount(productId), unique('product name') by 'Host (Client Address)'

• 合計が最大の上位4つのOSプロセスIDを検索:

  [ *|stats sum('OS Process ID') as OSprocessidSum by 'OS Process ID' | top 4 OSprocessidSum | fields -OSprocessidSum ] | stats count by 'OS Process ID', 'Log Source', 'Host Name(Server)'

• 最も致命的な重大度のログを持つターゲットからのすべてのログを表示:

  * and [ Severity = fatal | stats count by Target | top limit = 1 Count | fields -Count]