Related pages

中央集中型ログ管理 UI を使用すると、ソースルールを使用してログデータソースを設定できます。手動で作成されたジョブファイルは不要になりました。 

ログソースの設定をジョブファイル(4.3 より前のバージョンの設定で使用されたジョブファイル)からソースルールに変換することを推奨します。

  1. コントローラ、イベントサービス、および分析エージェントが 4.4 にアップグレードされていることを確認します。対応する次のアップグレードページを参照してください。
  2. 中央集中型ログ管理 UI を使用し、古いジョブファイルから新しいソースルールに設定をインポートすることによって、既存のジョブファイルのソースルールを作成します。

    必ず [Parsing time range] または [End of log file] のいずれかを使用してください。これを使用しない場合は、ジョブファイルによってすでに追跡されているログファイルがすべて二重に収集されます。収集タイミングの設定を決定するための詳細については、「タイミングに関する注意事項」を参照してください。
    ソースルールを保存すると、デフォルトでは無効状態になります。 
  3. ソースルールをエージェントスコープにマッピングします。
  4. UI を使用して新しいソースルールを有効にします。
  5. ログ分析データをアクティブに収集しているジョブファイルを無効にします。これを行うには、ジョブファイルを手動で編集し、enabled プロパティを false に変更します。詳細については、Configure Log Analytics Using Job Filesを参照してください。
  6. すべてのジョブファイル設定をソースルールに移行した後、[Disable Field Extraction With Job Files] をクリックするとジョブファイルの使用を完全に無効にすることができます。この操作を元に戻すことはできず、この操作の実行後にジョブファイルを使用することはできません。中央集中型ログ管理 UI を使用して作成されたソースルールに完全に移行した後にのみ、この操作を行ってください。 

タイミングに関する注意事項

デフォルトでは、コントローラは新しい設定情報を 5 分ごとに分析エージェントに伝達します。そのため、エージェントが新しいソースルール設定を使用してログファイルの追跡を開始するまでに、最大 5 分かかる場合があります。一方、ジョブファイルとソースルールの両方が同じログデータに対して有効になっている場合、データは 2 回収集されます。この状況を回避するには、構成設定を使用して、ログデータの収集をいつ開始するかを指定できます。

  • ファイルの末尾(UI フィールド = Start collecting from End of log file
  • 特定の時間範囲内(UI フィールド = Parsing time range

ソースルールを使用したログ分析の構成」の「[General Configuration] タブ」の構成設定を説明しているセクションを参照してください。

ログ分析データを収集するソースルールを有効にしたら、ジョブファイルを必ず無効にしてください。新しいソースルールがデータを正しく収集していることを確認するには、新しいログレコードが分析検索 UI データグリッドに表示されるまで待機します。ジョブファイルまたはソースルールのどちらによって収集されたログデータかを区別する 1 つの方法は、ソースルールで異なるソースタイプを使用することです。