Sumo Logic を触る機会があったので、その所感をまとめておく。
実装としては、
- Elasticsearch など検索エンジンの検索結果に、
- シェルのパイプライン処理をかませたのちに、
- それを図示化する
この3ステップをワンストップでできるようにした SaaS ツール、という理解が一番しっくりきた。
このような実装になっているから、クエリの実行を高速に実行するには、まず最初の検索エンジンでの検索において、できるかぎり不要な項目を省く、ことが重要になる。
最初のクエリは、必要条件でいろいろ絞っておいて、 その後のフィルタ処理で、正確な条件式を記述する、 といった方法でクエリを書くのが、 Sumo Logic の正しい使い方な気がしている。
// 実行例
_source=my-source-name AND 123.123.123.123 AND 200
| parse "* - * [*] * "*" * "*" "*" "*" as remote_addr, remote_user, time_local, status, request, body_bytes_sent, http_referer, http_user_agent, http_x_forwareded_for
| where status = 200 AND remote_addr = 123.123.123.123