バージョン: 4.x

Log Explorer

Log Explorerは、ログ分析シナリオ向けのインタラクティブなクエリツールです。コンソールから直接ログの検索、クエリ、集約を行うことができ、Kibanaの Discover ページに似た体験を提供しますが、ログ取得に典型的な深さとスケールに最適化されています。

左ナビゲーションのWork with dataグループからLog Explorerを開きます。

インターフェースレイアウト

Log Explorer は4つのエリアに分かれています：

上部入力エリア — クラスタ、テーブル、時間フィールド、クエリ時間範囲を選択します。メイン入力ボックスは2つのモードをサポートします：キーワード検索とSQL。
左フィールドパネル — 現在のテーブルのすべてのフィールド。右側の詳細パネルに表示するフィールドを選択します。フィールドにマウスを合わせると、上位5つの値とその割合が表示され、そこから直接値でフィルタリングできます（フィルターは上部入力エリアに表示されます）。
中央トレンドチャート — 時間経過に対するマッチするログエントリの数。チャート上でドラッグしてクエリ時間範囲を調整します。
下部詳細パネル — マッチするログ行。行をクリックして完全な詳細を開きます。テーブルとJSON両方の形式をサポートしており、テーブル形式ではインタラクティブにフィルターを作成することもできます。

開始するには、Log Explorerをクリックし、テーブルを選択します（例：internal_schema > audit_log）。Log Explorer はそのフィールドをクエリし、最初の時間フィールドを自動的に選択します。

discover

左側のフィールドにマウスを合わせると、その上位値が表示されます。例えば、stateフィールドでは最高頻度の値EOF、OK、ERRとそれぞれの割合が表示される可能性があります。

値の隣の**+または−をクリックしてフィルターを作成します — 例えば、ERRの隣の−**をクリックするとstate != ERRがフィルターバーに追加されます。

discover top field

入力ボックスで左側のSearchを選択し、右側にキーワードを入力して、Queryをクリックします。キーワード検索モードには対象テーブルの転置インデックスが必要です。

マッチした部分は詳細パネルでハイライトされ、トレンドチャートは時間経過でマッチするエントリ数を表示するように更新されます。

注意 MATCH_ANYを使用すると、ログのすべてのフィールドにわたってキーワードマッチを行います。ハイライトはすべての検索キーワードをカバーしようとしますが、特殊文字のため文字レベルでは正確でない場合があります。

フレーズをマッチさせるには、二重引用符で囲みます — 例："GET /api/v1/user"。フレーズ検索は内部でMATCH_PHRASEを使用します。

より正確なマッチが必要な場合は、検索ボックスをSQLに切り替え、WHERE条件を入力してQueryをクリックします。

discover sql

行をクリックして詳細を展開します。テーブル形式では、任意のフィールドの隣の**+または−**をクリックして、現在のフィルターにその値を追加または除外します。

discover row detail

行の右側のContextをクリックすると、その前後10個のログエントリが表示されます。コンテキストビュー内でフィルター条件を追加し続けることができます。

discover surrounding