こんにちは、CI事業部の関根です。
今回は、Sumo Logicの機能のひとつである『LogReduce』を使ってログをパターン毎に分類してみます。
LogReduceとは?
Sumo Logicに取り込んだログに対するクエリ結果を、出力された文字列やパターンの類似性を基に分類する機能です。
類似する構造や共通文字列を含んだメッセージを、シグネチャとしてグループ化します。(シグネチャという単語を頻繁に使っていきますが、シグネチャ=パターンという理解でOKです。)
実際に動かしてみる
今回はSumo Logicに取り込んだCloudTrailのログを使用しました。
範囲を直近3日間としていますが、約87,000件と大量のメッセージが出力されています。
LogReduceを実行するには、赤枠のボタンをクリックします。
ログの容量にもよりますが、今回のログでは約1分程で結果が出力されました。
約87,000件のメッセージが約80のシグネチャに分類されます。
シグネチャにおいて、類似する構造やテキスト文字列は「*」で表示されています。
また、シグネチャ毎のメッセージはスレッド化されており、赤枠のリンクから該当のシグネチャに属するメッセージの一覧を表示させることが可能です。
さいごに
少しの画面操作のみで、ログの分類ができました。
『大量のログを保持しているが、ログの内訳まで把握していない』ような場合に効果を発揮する機能だと思います。
その他にもSumo Logicには、過去のログと現在のログを簡単に比較できる機能などがありますので、またの機会にご紹介させていただきます。