ログエクスプローラー

ログエクスプローラー

ログエクスプローラーは、ログのトラブルシューティングと調査のホームベースです。ゼロから開始する場合でも、保存ビューから開始する場合でも、モニター通知やダッシュボードウィジェットなどの他のコンテキストからここに到達する場合でも、ログエクスプローラーは次を繰り返すために設計されています。

  1. ログをフィルターします。現在関心のあるログのサブセットに焦点を絞る、拡大する、またはシフトします。
  2. 情報を取得または統合するために、クエリされたログを上位レベルのエンティティに集計します。
  3. フィルターと集計の結果を視覚化して、ログを正しい視点に置き、決定的な情報を特定します。

いつでも、ログエクスプローラービューをエクスポートすれば、後でまたは別のコンテキストで再利用できます。

ログの絞り込み

検索フィルターは、時間範囲と、key:value と全文検索を組み合わせた検索クエリで構成されます。高度なユースケースの詳細については、ログ検索構文および時間範囲のドキュメントを参照してください。例: Past 5 minutes の時間範囲での検索クエリ service:payment status:error rejected:

インデックス化されたログは、全文検索と key:value 検索クエリの両方をサポートします。

: key:value クエリでは、事前にファセットを宣言する必要があります。

集計して測定する

ログは個々のイベントとして価値がある場合がありますが、価値のある情報がイベントのサブセットに存在する場合もあります。この情報を公開するには、ログを集計します。

: 集計はインデックス化されたログのみでサポートされます。インデックス化されていないログで集計を実行する必要がある場合は、ログからメトリクスを使用するか、アーカイブでリハイドレートを実行して、除外フィルターを一時的に無効にすることを検討してください。

フィールド

フィールド集計では、クエリフィルターに一致するすべてのログが、1 つまたは複数のログファセットの値に基づいてグループに集計されます。この集計に加えて、次のメジャーを抽出できます。

  • グループごとのログの数
  • グループごとのファセットのコード化された値の一意の数
  • グループごとのファセットの数値に対する統計演算 (minmaxavgpercentiles)

: 単一のファセットに対して複数の値を持つ個々のログは、その数の集計に属します。たとえば、team:sre タグと team:marketplace タグを持つログは、team:sre 集計で 1 回、team:marketplace 集計で 1 回カウントされます。

フィールド集計は、上位リストの視覚化の 1 つのディメンションをサポートし、時系列テーブルの視覚化の最大 3 ディメンションをサポートします。複数のディメンションがある場合、上位の値は最初のディメンションに基づき決定されます。その後最初のディメンション内の上位値内の 2 番めのディメンション、次に 2 番目のディメンション内の上位値内の 3 番めのディメンションに基づき決定されます。

パターン

パターン集計では、構造が類似した message を持ち、同じ service に属し、同じ status を持つログがまとめてグループ化されます。パターンビューは、他の問題を見逃す可能性のあるノイズの多いエラーパターンを検出してフィルタリングするのに役立ちます。

: パターンは、10,000 個のログサンプルに基づいて検出されます。ログを一部分に制限してパターンを表示するには、検索を絞り込みます。

パターンは、リスト集計の視覚化をサポートします。リスト内のパターンをクリックすると、パターンのサイドパネルが開き、次のことができます。

  • そのパターンからログのサンプルにアクセスする
  • 検索フィルターを追加して、このパターンからのログのみにスコープを絞る
  • grok パースルールのキックスタートを取得して、そのパターンの構造化された情報ログを抽出する

トランザクション

トランザクションは、ユーザーセッションや複数のマイクロサービスで処理されたリクエストなど、イベントのシーケンスのインスタンスに従ってインデックス化されたログを集計します。たとえば、e コマース Web サイトは、カタログ検索、カートへの追加、チェックアウトなどのさまざまなユーザーアクションにわたってログイベントをグループ化し、requestIdorderId などの共通属性を使用してトランザクションビューを構築します。

: トランザクションの集計は、クエリに一致するログだけでなく、関連するトランザクションに属するすべてのログも含まれるという意味で、自然なグループの集計とは異なります。

  • Duration: トランザクションの最後のログと最初のログのタイムスタンプの差。このメジャーは自動的に追加されます
  • トランザクションのログで見つかった最大重大度このメジャーは自動的に追加されます
  • 重要な項目の検索: 文字列値を持つ任意の facet について、count uniquelatestearliestmost frequent の操作を使用して、特定のログイベント情報を計算します。
  • 統計の取得: 任意の measure について、minmaxavgsummedianpc75pc90pc95pc99 の操作を使用して統計情報を計算します。

トランザクションは、リスト集計の視覚化をサポートします。リスト内のパターンをクリックすると、パターンのサイドパネルが開き、次のことができます。

  • そのトランザクション内のすべてのログにアクセスする
  • そのトランザクション内の特定のログを検索する
ログ Livetail

視覚化

視覚化は、フィルターと集計の結果がどのように表示されるかを定義します。

リスト

リストは、ログまたは集計のページ区切りされた結果です。これは個々の結果が重要だが、一致する結果を定義するものについての事前または明確な知識がない場合に役立ちます。リストを使用すると、結果のグループを調べることができます。

個々のログを表示するリストとログの集計を表示するリストには、わずかに異なる機能があります。

ログのリスト

個々のログのリストについては、列として表示する対象の情報を選択します。次のいずれかを使用して、テーブルの列を管理します。

  • テーブル。最初の行でインタラクションを利用できます。これは、列を並べ替え再配置、または削除するための推奨される方法です。
  • 左側のファセットパネル、または右側の_ログサイドパネル_。これは、フィールドの列を追加するための推奨されるオプションです。

Options ボタンを使用して、ログイベントごとにテーブルに表示される行数を制御します。

表示テーブルを構成する

リストの視覚化におけるログのデフォルトのソートはタイムスタンプによるもので、最新のログが一番上に表示されます。これが最速なので、一般的な目的では推奨される並べ替え方法になります。最初にメジャーの値が最小または最大のログを表示するか、ファセットの一意の値について辞書式にログを並べ替え、そのファセットに従って列を並べ替えます。特定のフィールドに従ってテーブルを並べ替えるには、事前にファセットを宣言する必要があることに注意してください。

ログテーブルのコンフィギュレーションは、トラブルシューティングコンテキストの他の要素と一緒に保存ビューに保存されます。

ログのリスト集計

集計のリストに表示される列は、集計から派生した列です。

結果は次のように並べ替えられます。

  • パターン集計の集計あたりの一致するイベントの数 (デフォルトは多いから少ないの降順)
  • トランザクション集計のトランザクション ID の辞書式順序 (デフォルトは A から Z の昇順)

Timeseries

選択した時間枠での単一のメジャー (またはファセットの一意の値のカウント) の進化を視覚化し、(オプションで) 使用可能なファセットで分割します。

次の時系列ログ分析は、ユニーククライアント IP の数に基づいて、過去 1 か月の上位 5 の URL パスの動きを示しています。

時系列の例

Choose additional display options for timeseries: the roll-up interval, whether you display results as bars (recommended for counts and unique counts), lines (recommended for statistical aggregations) or areas, and the colorset.

上位リスト

選択したメジャーに基づいて、ファセットから上位の値を可視化します。

たとえば、次の上位リストは、マーチャントの Web サイトの上位 15 の顧客を、前日に行った一意のセッションの数に応じて示しています。

ネストされたテーブル

選択したメジャー (リストで選択した最初のメジャー) に基づいてファセットから上位の値を可視化し、このテーブルの値に現れる要素に対して他のメジャーの値を表示します。検索クエリを更新したり、いずれかのディメンションに対応するログをドリルスルーすることができます。

  • メジャーが複数ある場合、最初のメジャーに応じて上位または下位リストが決定されます。
  • サブセット(上位または下位)のみが表示されるため、小計がグループ内の実際の合計値とは異なる場合があります。このディメンジョンに対する、値が null または空欄のイベントは、サブグループとして表示されません。

: 単一のメジャーと単一のディメンジョンで使用されるテーブルの可視化は、表示が異なりますが、上位リストと同じです。

次の表のログ分析は、上位 10 のアベイラビリティーゾーンの進化を示しています。また、各アベイラビリティーゾーンについて、数またはエラーログに応じた上位 10 のバージョンとそれぞれのホストコンテナ ID の固有の数を示しています。

エクスポート

いつでも、現在の集計に応じて、探索を次のようにエクスポートします。

  • 将来の自身またはチームメイトの調査の開始点として使用する保存ビュー
  • レポートまたは統合を目的としたダッシュボードウィジェット
  • 事前定義されたしきい値でアラートをトリガーするための監視
  • ログが Datadog に取り込まれるときに、ログを長期 KPI に集計するためのメトリクス
  • CSV (個々のログとトランザクション用)。個々のログには一度に最大 5,000 個のログをエクスポートでき、トランザクションには 500 個のログをエクスポートできます。
  • ビューの共有: メールや Slack などを通じて、現在のビューへのリンクをチームメートと共有します。この機能で利用可能なすべてのDatadog 通知インテグレーションを参照してください。

その他の参考資料

お役に立つドキュメント、リンクや記事:

ログの処理方法DOCUMENTATION more more ログ Live TailDOCUMENTATION more more ログサイドパネルDOCUMENTATION more more ログエクスプローラーの自動構成DOCUMENTATION more more ログエクスプローラーの URL をクリップボードに追加するブログ more more