でのログデータの自動マッピングとマッピング ヘルスログアナリティクス

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • デフォルトでは、 HLA エンジンはすべての受信ログ行を正しいタグに自動マッピングしようとします。JavaScript 関数を定義することで、自動マッピングの結果を手動で変更できます。

    受信ログ行の自動マッピング

    ヘルスログアナリティクス 自動マッピングでは、ログサンプルとメタデータが 3 つのタグ (サービスインスタンス、コンポーネント、ソースタイプ) にアサインされます。サービスインスタンスの割り当ては、データ入力セットアップで指定されたサービスインスタンスに基づきます。残りのタグは自動的にアサインされます。

    たとえば、次のログ行の例では、ヘルスログアナリティクス が「source」フィールドを使用してコンポーネントとソースタイプを検索します。

    {"beat":{"version":"6.8","name":"abc3.prd.acme.com","hostname":"abc3.prd.acme.com"},"@timestamp":"2020-08-27T10:12:24.792Z","prospector":{"type":"log"},"message":"**** User null is requesting the following page http://www.acme.com PROPS:{"subcategory1":"home pages","httpStatus":"200","loginLevel":"Anonymous","userAgent":"Mozilla5.0", ("pageUrl":\"http://www.acme.com","host":"abc3.prd.acme.com","@version":"1","source":"/opt/oracle/weblogic/abc/online_store3/logs/online_store3.out","offset":3951550786}

    この例では、ヘルスログアナリティクス で文字列「online_store」が抽出されます。ログ行に source、path、channel、namespace_name、name、pod_name、source_name、aws_lambda_name が存在する場合は、そのフィールドが分析されます。データが Syslog 経由で送信されると、syslog タグも分析されます。

    不要なデータの抽出停止
    抽出された文字列がわかりにくい場合や、冗長なテキストや情報が含まれている場合は、そのような不要なデータの抽出を停止できます。詳細については、「での不要なログデータの抽出の停止 ヘルスログアナリティクス」を参照してください。
    特定のデータを確実に抽出
    特定の必要な用語を ヘルスログアナリティクス で確実に抽出させることができます。詳細については、「での特定のログデータの抽出 ヘルスログアナリティクス」を参照してください。

    データ入力ソースのマッピング

    JavaScript 関数を定義することで、自動マッピングの結果を手動で変更できます。データ入力マッピング を使用すると、サービスインスタンス別および可用性ゾーン別にログデータを整理できます。1 つのサービスインスタンスに複数のコンポーネントを含めることができ、コンポーネントはさまざまなソースタイプからログを受信できます。ただし、サービスインスタンスとコンポーネントのペアは一意です。ソースタイプは、特定のログ構造と形式に基づいています。サービスインスタンスとコンポーネントはより広範に定義されているため、主に論理マッピングに使用されます。

    [テストモード] を有効にすると、ログデータマッピングを完成させるためだけに使用されるサンプルデータによる Elasticsearch ストレージの破壊を回避できます。データ入力がテストモードの場合、ヘルスログアナリティクス はソースタイプ、ソース、または標準フローで作成されるその他のオブジェクトを作成しません。ストリーミングされたデータは、ログビューアーにコンポーネントとして表示される専用の一時的な Elasticsearch インデックスに保存されます。スクリプトを公開してテストモードを終了すると、これらの一時インデックスは削除され、ストレージスペースの消費が最小限に抑えられます。

    JavaScript 関数を定義する場合は、[テスト] を選択して、現在指定されているスクリプトの結果を確認します。この機能を使用すると、作成されたソースタイプとソースをプレビューできます。その後、目的の結果が得られるまでスクリプトを調整できます。たとえば、複数のバージョンの JavaScript 関数のテスト結果を比較する場合に便利です。
    注:
    デフォルトでは、このテストは 100 個のログデータサンプルを処理します。この数値は、システムプロパティでカスタマイズできます。詳細については、「グローバル ヘルスログアナリティクス システムプロパティの構成」を参照してください。
    データ入力のセットアップ中に、システムが過剰な数のデータ入力ソースを作成することがあります。これは、たとえば、不完全なマッピングスクリプトが原因で発生することがあります。システムプロパティで、データ入力ごとに作成されるソース数に制限を設定できます。
    システム プロパティ 説明 デフォルト
    log_source.sources_warning_limit データ入力ごとに作成されるソース数の警告制限。 500
    log_source.sources_critical_limit データ入力ごとに作成されるソース数の重大な制限。 600
    特定のデータ入力で作成されたログソースの数が、そのデータ入力の [ソースの数] フィールドに表示されます。データ入力のセットアップ中に作成されたソースの合計数が警告制限に達すると、警告通知がメールで送信されます。また、[データ入力マッピング][ログソース]、および [データ入力] ページにもメッセージが表示されます。通知とメッセージには、これまでに作成されたソースの合計数と、この合計数に対して最も多くのソースを提供した 3 つのデータ入力が含められます。アクションが実行されない場合、システムは合計数が重大な制限に達するまでソースを作成し続けます。制限に達すると、すべてのデータ入力からのデータ入力セットアップとストリーミングが自動的に停止されます。問題が解決されるまで、手動でデータ入力を開始することはできません。この状態を解決するには、Now Support ナレッジベースの「データ入力のソースが多すぎる場合の処理方法 (How to handle too many sources in data inputs) [KB0963067]」の手順に従ってください。

    ログデータのバインディング

    ログデータを 構成管理データベース (CMDB) の構成アイテム (CI) にバインドすると、ログに一致するエンドポイントの CMDB を検索できます。データ入力を設定するときは、CMDB の CI にバインドされているサービスインスタンスにログエントリをバインドします。ログエントリー、サービスインスタンス、および CI をバインドすると、 HLA エンジンはそれらを関連付けて根本原因分析 (RCA) に使用できます。詳細については、「ヘルスログアナリティクス でRsyslog、Filebeat、またはWinlogbeatデータ入力を手動で構成する」または「ヘルスログアナリティクスでのElasticsearchデータ入力の手動構成」を参照してください。