概要
ログは個々のイベントとして価値がある場合がありますが、価値のある情報がイベントのサブセットに存在する場合もあります。
ログクエリエディターで、クエリしたログの集計を切り替えることができます。ログのグループ化、集計、測定のために選択したフィールドは、異なる表示や集計の種類を切り替えても保存されます。
複数のクエリを追加して異なるログを同時に分析したり、クエリに数式や関数を適用して詳細な分析が可能です。
集計はインデックス化されたログのみでサポートされます。インデックス化されていないログで集計を実行する必要がある場合は、ログベースのメトリクスを生成するか、アーカイブでリハイドレートを実行して、除外フィルターを一時的に無効にすることを検討してください。
フィールドによるログのグループ化
インデックス化されたログをフィールドで集計する場合、クエリフィルターに一致するすべてのログは、1 つまたは複数のログファセットの値に基づいてグループに集計されます。
これらの集計の上で、次のメジャーを抽出することができます。
- グループごとのログの数
- グループごとのファセットのコード化された値の一意の数
- グループごとのファセットの数値に対する統計演算 (
min、max、avg、percentiles)
単一のファセットに対して複数の値を持つ個々のログは、その数の集計に属します。たとえば、team:sre タグと team:marketplace タグを持つログは、team:sre 集計で 1 回、team:marketplace 集計で 1 回カウントされます。
ロググループを視覚化する
フィールド集計は、上位リストの視覚化では 1 次元、時系列、テーブル、ツリーマップ、パイチャートの視覚化では最大 4 次元までサポートしています。
複数のディメンションがある場合、上位の値は最初のディメンションに基づき決定されます。その後最初のディメンション内の上位値内の 2 番めのディメンション、次に 2 番目のディメンション内の上位値内の 3 番めのディメンションに基づき決定されます。
複数のクエリ
時系列、テーブルの視覚化で、複数のクエリに対応しました。クエリエディタの横にある + Add ボタンをクリックすることで、複数のクエリを追加できます。新しいクエリを追加すると、直前のクエリとそのグループ化オプションがコピーされます。
クエリエディター内の文字をクリックして、現在の視覚化に表示するクエリを選択または選択解除することができます。
デフォルトでは、新しいクエリが追加されると、選択した視覚化で表示するように自動的に選択されます。
タイムラインを表示するには、Timeline for ドロップダウンでそのクエリを選択します。Use facets with ドロップダウンでクエリを選択し、ファセットパネルで値をクリックすると、検索クエリの 1 つをスコープすることができます。選択されたクエリのみが、選択されたファセットで更新されます。
関数
関数はすべての視覚化でサポートされています。
クエリエディターで Fields 集計をクリックして、ログに関数を適用します。オプションで関数を適用するファセットフィールドを選択し、そのメジャーの横にある Σ アイコンをクリックします。選択したログフィールドに適用する関数を選択または検索します。
ダッシュボードのグラフエディターでログに使用できるすべての関数は、ログエクスプローラーでログに適用することができます。
これは、除外関数を適用してログの特定の値を除外する方法の例です。
数式
クエリエディターの横にある + Add ボタンをクリックして、1 つまたは複数のクエリに数式を適用します。次の例では、式を使用して、Merchant Tier: Enterprise / Merchant Tier: Premium の顧客のログにある Cart Id の一意の数の比率を計算します。
複数のクエリで数式を適用するには、すべてのクエリが同じファセットでグループ化されている必要があります。上記の例では、両方のクエリが Webstore Store Name によってグループ化されています。
関数を数式に適用するには、Σ アイコンをクリックします。ここでは、全ログに占めるエラーログの割合にタイムシフト関数を適用し、現在のデータと 1 週間前のデータを比較する例を示します。
その他の参考資料
