ログ検索構文

概要

クエリフィルターは条件と演算子で構成されます。

条件には 2 種類あります。

• 単一条件は、1 つの単語です (test、hello など)。

• シーケンスは、二重引用符で囲まれた単語のグループです ("hello dolly" など)。

複合クエリで複数の条件を組み合わせるには、以下の大文字と小文字を区別するブール演算子を使用します。

特殊文字とスペースのエスケープ

特殊文字と見なされる + - = && || > < ! ( ) { } [ ] ^ " “ ” ~ * ? : \、ならびにスペースは、\ 文字を使用してエスケープする必要があります。

ログメッセージ内の特殊文字を検索することはできません。特殊文字が属性の中にある場合は、検索することができます。

特殊文字を検索するには、Grok Parser で特殊文字を属性にパースし、その属性を含むログを検索してください。

属性検索

特定の属性を検索するには、@ を付けて属性検索であることを明示します。

たとえば、属性名が url で、url の値 www.datadoghq.com で絞り込む場合は、次のように入力します。

@url:www.datadoghq.com

注:

1. 属性やタグを検索するためのファセットの定義は不要です。

2. 属性検索では大文字と小文字が区別されます。大文字と小文字を区別したくない場合はフリーテキスト検索を使用してください。または、Grok パーサーでのパース実行中に lowercase フィルターを適用すれば、文字の種類に関わらない検索結果を得ることができます。

3. 特殊文字を含む属性値を検索するには、エスケープ処理または二重引用符が必要です。

   • たとえば、値が hello:world の属性 my_attribute は、@my_attribute:hello\:world または @my_attribute:"hello:world" を使用して検索します。
   • 単一の特殊文字またはスペースに一致させるには、? ワイルドカードを使用します。たとえば、値が hello world の属性 my_attribute は、@my_attribute:hello?world を使用して検索します。

例:

CIDR 表記による検索

CIDR (Classless Inter Domain Routing) は、IP アドレスの範囲 (CIDR ブロックとも呼ばれる) を簡潔に定義することができる表記法です。CIDR は、ネットワーク (VPC など) またはサブネットワーク (VPC 内のパブリック/プライベートサブネットなど) を定義するために最もよく使用されます。

ユーザーは CIDR() 関数を使用して、CIDR 表記を使用してログの属性をクエリすることができます。CIDR() 関数は、フィルタリングのパラメーターとしてログ属性を渡し、その後に 1 つまたは複数の CIDR ブロックを渡す必要があります。

例

• CIDR(@network.client.ip,13.0.0.0/8) は、フィールド network.client.ip の IP アドレスが 13.0.0.0/8 CIDR ブロックに該当するログにマッチしてフィルターをかけます。
• CIDR(@network.ip.list,13.0.0.0/8, 15.0.0.0/8) は、配列属性 network.ip.list の IP アドレスが 13.0.0.0/8 または 15.0.0.0/8 CIDR ブロックに該当するログにマッチしてフィルターをかけます。
• source:pan.firewall evt.name:reject CIDR(@network.client.ip, 13.0.0.0/8) は、13.0.0.0/8 サブネットで発信されるパロアルトファイアウォールの拒否イベントにマッチしてフィルターにかけます。
• source:vpc NOT(CIDR(@network.client.ip, 13.0.0.0/8)) CIDR(@network.destination.ip, 15.0.0.0/8) は、13.0.0.0/8 から発信されていない VPC ログをすべて表示しますが、これはサブネット間の環境におけるネットワークトラフィックを分析したいため、宛先サブネット 15.0.0.8 に指定されているものであることを示します

CIDR() 関数は、IPv4 と IPv6 の CIDR 表記をサポートし、ログエクスプローラー、Live Tail、ダッシュボードのログウィジェット、ログモニター、およびログ構成で動作します。

ワイルドカード

複数文字のワイルドカード

複数文字のワイルドカード検索を実行するには、* 記号を次のように使用します。

• service:web* は、web で始まるサービスを持つすべてのログメッセージに一致します。
• web* は、web で始まるすべてのログメッセージに一致します。
• *web は、web で終わるすべてのログメッセージに一致します。

注: ワイルドカードは、二重引用符の外側にあるワイルドカードとしてのみ機能します。例えば、"*test*" は、メッセージの中に *test* という文字列があるログにマッチします。*test* は、メッセージのどこかに test という文字列を持つログにマッチします。

ワイルドカード検索は、この構文を使用してタグおよび属性 (ファセット使用の有無を問わない) 内で機能します。次のクエリは、文字列 mongo で終わるすべてのサービスを返します。

service:*mongo

ワイルドカード検索は、ファセットに含まれないログのプレーンテキスト内の検索にも使用できます。次のクエリは、文字列 NETWORK を含むすべてのログを返します。

*NETWORK*

ただし、この検索条件は、ファセット内に文字列 NETWORK を含み、ログメッセージには含まれない場合はログを返しません。

ワイルドカードを検索

特殊文字を含む属性値またはタグ値を検索する場合や、エスケープまたは二重引用符を必要とする場合は、? ワイルドカードを使用して 1 つの特殊文字またはスペースに一致させます。たとえば、値が hello world の属性 my_attribute を検索するには: @my_attribute:hello?world

数値

数値属性を検索するには、まずその属性をファセットとして追加します。次に、数値演算子 (<、>、<=、または >=) を使用して、数値ファセットの検索を行うことができます。 例えば、応答時間が 100ms 超のログをすべて取得するには、次のようにします。

@http.response_time:>100

特定の範囲内にある数値属性を検索することができます。たとえば、4xx エラーをすべて取得するには、次のようにします。

@http.status_code:[400 TO 499]

タグ

ログは、タグを生成するホストとインテグレーションからタグを引き継ぎます。これらも、ファセットとして検索で使用できます。

• test は文字列「test」を検索します。
• env:(prod OR test) は、タグ env:prod またはタグ env:test を含むすべてのログに一致します。
• (env:prod AND -version:beta) は、タグ env:prod を含み、タグ version:beta は含まないすべてのログに一致します。

タグがタグのベストプラクティスに従わず、key:value 構文も使用していない場合は、次の検索クエリを使用します。

• tags:<MY_TAG>

配列

次の例では、ファセットで Peter 値をクリックすると、users.names 属性の値が Peter であるか、Peter を含む配列であるすべてのログが返されます。

注: 同等の構文を使用して、検索をファセットではない配列属性にも使用することができます。

以下の例では、Windows 用の CloudWatch ログは、@Event.EventData.Data の下に JSON オブジェクトの配列が含まれています。JSON オブジェクトの配列にファセットを作成することはできませんが、以下の構文で検索することができます。

• @Event.EventData.Data.Name:ObjectServer はキーName と値 ObjectServer ですべてのログに一致します。

検索の保存

保存ビューに、検索クエリ、列、対象期間、およびファセットが格納されます。

その他の参考資料

お役に立つドキュメント、リンクや記事:

ログを視覚化する方法ドキュメント ログ内のパターン検出ドキュメント ログの処理方法ドキュメント 保存ビューについてドキュメント