Sumologic 所感

Sumo Logic を触る機会があったので、その所感をまとめておく。

実装としては、

1. Elasticsearch など検索エンジンの検索結果に、
2. シェルのパイプライン処理をかませたのちに、
3. それを図示化する

この３ステップをワンストップでできるようにした SaaS ツール、という理解が一番しっくりきた。

このような実装になっているから、クエリの実行を高速に実行するには、まず最初の検索エンジンでの検索において、できるかぎり不要な項目を省く、ことが重要になる。

最初のクエリは、必要条件でいろいろ絞っておいて、 その後のフィルタ処理で、正確な条件式を記述する、 といった方法でクエリを書くのが、 Sumo Logic の正しい使い方な気がしている。

// 実行例
_source=my-source-name AND 123.123.123.123 AND 200
| parse "* - * [*] * "*" * "*" "*" "*" as remote_addr, remote_user, time_local, status, request, body_bytes_sent, http_referer, http_user_agent, http_x_forwareded_for
| where status = 200 AND remote_addr = 123.123.123.123