バージョン: 26.x

Log Explorer

Log Explorerは、ログ解析シナリオ向けのインタラクティブなクエリツールです。コンソールから直接ログの検索、クエリ、集計を行うことができ、Kibanaのディスカバーページに似た体験を提供しますが、ログ取得に典型的な深度と規模に最適化されています。

左側ナビゲーションのWork with dataグループからLog Explorerを開きます。

インターフェースのレイアウト

Log Explorerは4つのエリアに分かれています：

上部入力エリア — クラスター、テーブル、時間フィールド、クエリ時間範囲を選択します。メイン入力ボックスは2つのモードをサポートしています：キーワード検索とSQL。
左側フィールドパネル — 現在のテーブルのすべてのフィールド。右側の詳細パネルに表示するフィールドを選択します。フィールドの上にマウスを置くと、上位5つの値とその割合が表示され、そこから直接値でフィルタリングできます（フィルターは上部入力エリアに表示されます）。
中央トレンドチャート — 時間軸における一致するログエントリの数。チャートをドラッグしてクエリ時間範囲を調整します。
下部詳細パネル — 一致するログ行。行をクリックして完全な詳細を開きます。テーブルとJSON形式の両方がサポートされており、テーブル形式では対話的にフィルターを構築することもできます。

開始するには、Log Explorerをクリックし、テーブル（例：internal_schema > audit_log）を選択します。Log Explorerはそのフィールドをクエリし、最初の時間フィールドを自動的に選択します。

discover

左側のフィールドの上にマウスを置くと、その上位値が表示されます。例えば、stateフィールドでは最高頻度の値EOF、OK、ERRとそれぞれの割合が表示される場合があります。

値の横の**+または−をクリックしてフィルターを構築します — 例えば、ERRの横の−**をクリックすると、フィルターバーにstate != ERRが追加されます。

discover top field

入力ボックスで左側のSearchを選択し、右側にキーワードを入力して、Queryをクリックします。キーワード検索モードでは、対象テーブルに転置インデックスが必要です。

一致箇所は詳細パネルでハイライトされ、トレンドチャートは時間軸で一致するエントリ数を表示するよう更新されます。

注意 MATCH_ANYを使用すると、ログ内のすべてのフィールドでキーワードマッチが行われます。ハイライトはすべての検索キーワードをカバーしようとしますが、特殊文字のため、ハイライトが文字単位で正確でない場合があります。

フレーズをマッチさせるには、ダブルクォートで囲みます — 例えば"GET /api/v1/user"。フレーズ検索は内部的にMATCH_PHRASEを使用します。

より正確なマッチが必要な場合は、検索ボックスをSQLに切り替え、WHERE条件を入力してQueryをクリックします。

discover sql

行をクリックして詳細を展開します。テーブル形式では、任意のフィールドの横の**+または−**をクリックして、その値を現在のフィルターに追加または除外します。

discover row detail

行の右側のContextをクリックして、その前後10個のログエントリを表示します。コンテキストビュー内でフィルター条件を追加し続けることができます。

discover surrounding