概要

ログは個々のイベントとして価値がある場合がありますが、価値のある情報がイベントのサブセットに存在する場合もあります。

この情報を公開するために、ログを以下のようにグループ化できます。


ログクエリエディターで、クエリしたログの集計を切り替えることができます。ログのグループ化、集計、測定のために選択したフィールドは、異なる表示や集計の種類を切り替えても保存されます。

ログを棒グラフで表示し、フィールド、パターン、トランザクションにグループ化するオプションを提供

複数のクエリを追加して異なるログを同時に分析したり、クエリに数式関数を適用して詳細な分析が可能です。

集計はインデックス化されたログのみでサポートされます。インデックス化されていないログで集計を実行する必要がある場合は、ログベースのメトリクスを生成するか、アーカイブでリハイドレートを実行して、除外フィルターを一時的に無効にすることを検討してください。

フィールドによるログのグループ化

インデックス化されたログをフィールドで集計する場合、クエリフィルターに一致するすべてのログは、クエリ検索値に基づいてグループに集計されます。

これらの集計の上で、次のメジャーを抽出することができます。

  • グループごとのログの数
  • グループごとのクエリ検索値に対する一意のコード化された値の数 (UI ではcount unique of として表示されます)
  • グループごとのクエリ検索値の数値に対する統計演算 (minmaxavgpercentiles)

複数のクエリ検索値を持つ個々のログは、その数の集計に属します。たとえば、team:sre タグと team:marketplace タグを持つログは、team:sre 集計で 1 回、team:marketplace 集計で 1 回カウントされます。

ロググループを視覚化する

フィールド集計は、上位リストの視覚化では 1 次元、時系列テーブルツリーマップパイチャートの視覚化では最大 4 次元までサポートしています。

複数のディメンションがある場合、上位の値は最初のディメンションに基づき決定されます。その後最初のディメンション内の上位値内の 2 番めのディメンション、次に 2 番目のディメンション内の上位値内の 3 番めのディメンションに基づき決定されます。

複数のクエリ

時系列テーブルの視覚化で、複数のクエリに対応しました。クエリエディタの横にある + Add ボタンをクリックすることで、複数のクエリを追加できます。新しいクエリを追加すると、直前のクエリとそのグループ化オプションがコピーされます。

クエリエディター内の文字をクリックして、現在の視覚化に表示するクエリを選択または選択解除することができます。

クエリエディターには 2 つのクエリがあり、1 つは A、もう 1 つは B とラベル付けされています

デフォルトでは、新しいクエリが追加されると、選択した視覚化で表示するように自動的に選択されます。

タイムラインを表示するには、Timeline for ドロップダウンでそのクエリを選択します。Use facets with ドロップダウンでクエリを選択し、ファセットパネルで値をクリックすると、検索クエリの 1 つをスコープすることができます。選択されたクエリのみが、選択されたファセットで更新されます。

クエリエディターがセレクタのタイムラインを表示し、クエリ A とクエリ B のドロップダウンオプションがあります

関数

関数はすべての視覚化でサポートされています。

クエリエディターで Fields 集計をクリックして、ログに関数を適用します。オプションで関数を適用するファセットフィールドを選択し、そのメジャーの横にある Σ アイコンをクリックします。選択したログフィールドに適用する関数を選択または検索します。

ダッシュボードのグラフエディターでログに使用できるすべての関数は、ログエクスプローラーでログに適用することができます。

これは、除外関数を適用してログの特定の値を除外する方法の例です。

カットオフの分除外フィルターを 100 に設定したクエリ

数式

クエリエディターの横にある + Add ボタンをクリックして、1 つまたは複数のクエリに数式を適用します。次の例では、式を使用して、Merchant Tier: Enterprise / Merchant Tier: Premium の顧客のログにある Cart Id の一意の数の比率を計算します。

クエリ A をクエリ B で割る計算式のあるクエリエディター

複数のクエリで数式を適用するには、すべてのクエリが同じクエリ検索値でグループ化されている必要があります。上記の例では、両方のクエリが Webstore Store Name によってグループ化されています。

関数を数式に適用するには、Σ アイコンをクリックします。ここでは、全ログに占めるエラーログの割合にタイムシフト関数を適用し、現在のデータと 1 週間前のデータを比較する例を示します。

前週のタイムシフト関数を適用した数式を表示したクエリエディター

その他の参考資料

PREVIEWING: mervebolat/span-id-preprocessing