でのログストリーミングの問題の特定と解決 ヘルスログアナリティクス

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • ログストリーミングの問題を見つけて対処し、データ入力によってログデータがインスタンスに適切にストリーミングされていることを確認します。

    始める前に

    必要なロール:evt_mgmt_admin

    手順

    1. 移動先 すべて > ヘルスログアナリティクス > ストリーミングソース.
      [ストリーミングソース (Streaming Sources)] ページには、すべてのデータ入力と、そうしたデータ入力からのログを受信する MID サーバーが表示されます。
      注:
      • 高度なデータ入力構成で、[ホスト名を検索 (Look up hostnames)] を選択すると、Rsyslog または Filebeat シッパーを使用するデバイスのホスト名が、[ストリーミングソース (Streaming Sources)] ページに表示されます。Elasticsearch インデックスの場合は、インデックス名が表示されます。
      • ストリーミングソースは、データ入力フォームの関連リストとしても利用できます。関連リストには、当該データ入力に関連するエンドポイントデバイスのみが表示されます。
    2. データ入力レコードを選択して、そのソースのストリーミングデータを表示し、ストリーミングの問題および考えられる原因を特定します。
      たとえば、データ入力のエンドポイントサーバーの最後に記録されたイベント時刻が昨日になっている場合は、そのサーバーが停止しているか、正しく設定されていない可能性があります。ストリーミングの問題は、データ入力構成ファイルがエンドポイントにインストールされていないことが原因の場合もあります。
      フィルター 説明
      ステータス ソースのステータス。赤色の丸は、過去 1 時間、このソースがデータをストリーミングしていないことを示します。
      最新イベント時刻 (Last event time) MID サーバー で過去 1 分間に届いたイベントを記録した前回の時刻。

      ヘルスログアナリティクス は、最新イベント時刻を継続的に更新します。前回のイベント時刻が最新でない場合、データはストリーミングされていません。
      生のログ行数/秒 (Raw log lines/sec) 過去 1 分間に MID サーバー にストリーミングされた生のログ行の平均数/秒。
      注:
      この値は、前処理前の生のログ行の数を表します。
      前処理済みログ行数/秒 (Preprocessed log lines/sec) 過去 1 分間に MID サーバー にストリーミングされた前処理済みのログ行の平均数/秒。
      注:
      この値は、1 秒あたりの生のログ行数とは異なる場合があります。たとえば、前処理中にログが削除されたために差異が生じる可能性があります。
    3. データストリーミングの問題を調査して解決します。
      注:
      Elasticsearch からのストリーミングログデータで権限関連の問題が発生した場合は、Now Supportナレッジベースの「Elasticsearch からのデータストリームの権限付与 (Granting privileges for data streams from Elasticsearch) [KB0967366]」記事を参照してください。

    次のタスク

    ログが正しくストリーミングされ たら、生のログデータのマッピングに進みます。
    注:
    生の受信ログデータヘルスログアナリティクス で処理する前に編集することもできます。たとえば、前処理でログの一部を破棄したり、ログから機密データを削除したりすることができます。このタスクはオプションです。