Simple Log Service では、インデックスモードでログをクエリおよび分析できます。この機能は SQL コンピューティングと統合されています。このトピックでは、ログクエリおよび分析文の構文と制限について説明します。また、ログクエリおよび分析機能を使用する際に呼び出すことができる SQL 関数についても説明します。
ログをクエリおよび分析するには、ログを標準ログストアに保存し、インデックスを構成する際に必要なフィールドで [分析を有効にする] をオンにする必要があります。詳細については、「ログストアの管理」および「インデックスの作成」をご参照ください。
数百億件のログエントリをクエリする場合、クエリ文を最大 10 回繰り返し実行して、すべての結果を取得できます。詳細については、「「結果は不正確です」エラーが発生した場合の対処方法」をご参照ください。
デフォルトでは、Simple Log Service は予約フィールドを提供します。予約フィールドの分析方法の詳細については、「予約フィールド」をご参照ください。
構文
クエリ文には最大 30 個のクエリ条件を指定することをお勧めします。
デフォルトでは、分析文は現在のログストアのデータを分析します。FROM 句または WHERE 句を指定する必要はありません。
分析文はオフセットをサポートしておらず、大文字と小文字は区別されず、セミコロン (;) で終わってはいけません。
クエリ文と分析文は縦棒 (|) で区切ります。クエリ文は単独で使用できます。分析文はクエリ文と組み合わせて使用する必要があります。ログ分析機能を使用すると、ログストア内のすべてのデータ、またはログストア内の指定されたクエリ条件を満たすデータのみを分析できます。
クエリ文 | 分析文種類 | 説明 |
クエリ文 | クエリ文は 1 つ以上のクエリ条件を指定し、指定された条件を満たすログデータを返します。クエリ条件には、キーワード、数値、数値範囲、スペース文字、またはアスタリスク (*) を使用できます。スペース文字またはアスタリスク (*) をクエリ条件として指定すると、すべてのデータが返されます。詳細については、「検索構文」をご参照ください。 |
分析文 | 分析文は、クエリ結果またはログストア内のすべてのデータを集計または分析するために使用されます。詳細については、「SPL を使用したログのクエリと分析」および「SQL 構文と関数」をご参照ください。 |
例
* | SELECT status, count(*) AS PV GROUP BY status次の図は、クエリ文と分析文の結果を示しています。
ログストアのデータのクエリと分析方法の詳細については、「ログクエリと分析ガイド」をご参照ください。
高度な機能
LiveTail: O&M ワークロードを削減するために、Simple Log Service は Simple Log Service コンソールで LiveTail 機能を提供しています。この機能を使用すると、ログをリアルタイムで監視および分析できます。詳細については、「LiveTail」をご参照ください。
LogReduce:ログを収集する際に、LogReduce 機能は非常に類似したログを集約し、ログからパターンを抽出できます。これにより、ログの概要を把握できます。詳細については、「LogReduce」をご参照ください。
コンテキストクエリ:コンテキスト情報を使用して、エラーを効率的に特定し、トラブルシューティングできます。詳細については、「コンテキストクエリ」をご参照ください。
フィールド分析:この機能は、各フィールドの分布とメトリックを分析し、各フィールドの上位 5 つの値の時系列グラフを提供します。分析結果をデータの洞察と可視化に使用できます。詳細については、「フィールド分析」をご参照ください。
イベント設定: Simple Log Service では、生のログに対して詳細表示イベントを構成できます。これにより、生のログを可視化および管理し、生のログに関する詳細情報を効率的に取得できます。詳細については、「イベント設定」をご参照ください。
StoreView: StoreView を使用すると、リージョンとログストアをまたいでログをクエリできます。詳細については、「StoreView の概要」をご参照ください。
クエリ文の制限
制限 | 説明 |
キーワードの数 | クエリ条件として使用できるキーワードの数には制限があります。論理演算子の数は含まれません。各クエリ文には最大 30 個のキーワードを指定できます。 |
フィールド値のサイズ | フィールド値の最大サイズは 512 KB です。超過部分はクエリ文では使用されません。 フィールド値のサイズが 512 KB を超えると、キーワードに基づいてログデータが返されない場合があります。これは、ログストアに保存されているログデータの整合性には影響しません。 |
クエリの同時実行性 | 各プロジェクトは、最大 100 件の同時クエリ文をサポートします。 たとえば、最大 100 人のユーザーがプロジェクトのすべてのログストアのデータを同時にクエリできます。 |
返される結果 | 返されたログエントリは複数のページに表示されます。各ページには最大 100 件のログエントリが表示されます。 |
あいまい検索 | あいまい検索では、Simple Log Service は指定された条件を満たす最大 100 語と一致し、クエリ条件を満たし、これらの語の 1 つ以上を含むログエントリを返します。詳細については、「検索構文」のあいまい検索をご参照ください。 |
クエリ結果のソート | デフォルトでは、クエリ結果はクエリ時間の降順でソートされ、精度は秒単位です。結果がナノ秒以内に返された場合、クエリ結果はナノ秒単位のクエリ時間の降順でソートされます。 |
分析文の制限
制限 | 標準 SQL | 専用 SQL |
クエリの同時実行性 | 各プロジェクトは、最大 15 件の同時分析文をサポートします。 たとえば、最大 15 人のユーザーが分析文を実行して、プロジェクトのすべてのログストアのデータを同時に分析できます。 | 各プロジェクトは最大 100 件の同時分析文をサポートします。 たとえば、最大 100 人のユーザーが分析文を実行して、プロジェクトのすべてのログストアのデータを同時に分析できます。 |
データ量 | 各シャードで最大 1 GB のインデックスデータをクエリおよび分析できます。 | 分析文は、最大 2,000 億行のデータを同時にスキャンできます。 |
モード | デフォルトでは、標準 SQL が有効になっています。 | 専用 SQL は手動で有効にする必要があります。詳細については、「専用 SQL を有効にする」をご参照ください。 |
課金 | 無料です。 | 実際の CPU 時間に基づいて課金されます。 |
適用範囲 | ログ分析機能が有効になった後に Simple Log Service に書き込まれたデータのみを分析できます。 既存データを分析する必要がある場合は、既存データのインデックスを再作成する必要があります。詳細については、「ログストアのログのインデックス再作成」をご参照ください。 | ログ分析機能が有効になった後に Simple Log Service に書き込まれたデータのみを分析できます。 既存データを分析する必要がある場合は、既存データのインデックスを再作成する必要があります。詳細については、「ログストアのログのインデックス再作成」をご参照ください。 |
返される結果 | デフォルトでは、分析文は最大 100 行、100 MB のデータを返します。100 MB を超える文はエラーになります。 より多くのデータを表示する場合は、LIMIT 句を使用します。詳細については、「LIMIT 句」をご参照ください。 | デフォルトでは、分析文は最大 100 行、100 MB のデータを返します。 100 MB を超える文はエラーになります。 より多くのデータを表示する場合は、LIMIT 句を使用します。詳細については、「LIMIT 句」をご参照ください。 |
フィールド値のサイズ | フィールド値の最大サイズは 16 KB(16,384 バイト)です。超過部分は分析文では使用されません。 説明 フィールド値の最大サイズは 2 KB(2,048 バイト)です。フィールド値の最大サイズを変更する場合は、[最大統計フィールド長] パラメーターを指定します。インデックス設定を変更した後、新しいインデックス設定は増分データにのみ有効になります。詳細については、「インデックスの作成」をご参照ください。 | フィールド値の最大サイズは 16 KB(16,384 バイト)です。超過部分は分析文では使用されません。 説明 フィールド値の最大サイズは 2 KB(2,048 バイト)です。フィールド値の最大サイズを変更する場合は、[最大統計フィールド長] パラメーターを指定します。インデックス設定を変更した後、新しいインデックス設定は増分データにのみ有効になります。詳細については、「インデックスの作成」をご参照ください。 |
タイムアウト期間 | 1 つの分析文の最大タイムアウト期間は 55 秒です。 | 1 つの分析文の最大タイムアウト期間は 55 秒です。 |
DOUBLE 型フィールドの値の小数点以下の桁数 | DOUBLE 型フィールドの値には、最大 52 桁の小数点以下の桁数を含めることができます。 小数点以下の桁数が 52 より大きい場合、フィールド値の精度は低下します。 | DOUBLE 型フィールドの値には、最大 52 桁の小数点以下の桁数を含めることができます。 小数点以下の桁数が 52 より大きい場合、フィールド値の精度は低下します。 |
関連情報
Simple Log Service がログ分析でサポートする関数と構文の詳細については、以下のトピックをご参照ください。
ログのクエリに使用できる API 操作の詳細については、以下のトピックをご参照ください。