■ はじめに
Sumo LogicにALLIGATEのログ検索用クエリーをインポートする方法を説明します。
※ここでの説明は、Sumo Logicアプリでの操作方法となります。
■ 前提条件
Sumo Logicにログイン済みであること。
Sumo LogicにALLIGATEのログを取り込み済みであること。
Administrator権限を持っているSumo Logicユーザであること。
■クエリーを保存するフォルダ―を作成する
「library」をクリックしてください。
View asを変更します。「Content Administrator」を選択してください。
Admin Recommendedフォルダに移動します。「Admin Recommended」をクリックしてください。
フォルダを作成します。「+ New Folder」をクリックしてください。
Nameに「ALLIGATE」と入力し、「Add」をクリックしてください。
Admin Recommendedフォルダに移動します。「Admin Recommended」をクリックしてください。
作成したフォルダに共有設定を行います。ALLIGATEフォルダの右端にマウスカーソルを合わせ、「Share」をクリックしてください。
Users and Rolesを入力します。「Administrator」を選択してください。。
Accessを入力します。「Manage」を選択してください。
Notify recipients by emailは、「OFF」にしてください。
「Share」をクリックしてください。
■クエリーをインポートする
ここでは、現在出勤している社員リストを検索するクエリーをインポートする手順を例に説明します。
ALLIGATEフォルダに移動します。「ALLIGATE」をクリックしてください。
+ New Folderの隣のメニューをクリックしてください。
クエリーをインポートします。「Import」をクリックしてください。
Nameに「List of employees currently working」を入力してください。
※通常は、任意の名前を入力してください。
JSONに下記を入力します。内容は、各クエリーによって異なります。
{ "type": "SavedSearchWithScheduleSyncDefinition", "name": "List of employees currently working", "search": { "queryText": "_sourceCategory=\"alligate/accesslog\" and _collector=\"File Uploads\"\n| now() as nowTimestamp | formatDate(nowTimestamp, \"yyyy/MM/dd\") as nowDate\n| where !isBlank(userid) and longTimestamp >= parseDate(concat(nowDate,\" 00:00:00\"), \"yyyy/MM/dd HH:mm:ss\", \"Asia/Tokyo\") and longTimestamp <= parseDate(concat(nowDate,\" 23:59:59\"), \"yyyy/MM/dd HH:mm:ss\", \"Asia/Tokyo\")\n| count(userid),first(timestamp),last(timestamp) group by userid, username\n| where _count > 0 | sort by username", "defaultTimeRange": "today", "byReceiptTime": true, "viewName": "", "viewStartTime": "1970-01-01T00:00:00Z", "queryParameters": [], "parsingMode": "Manual" }, "searchSchedule": null, "description": "" }
「Import」をクリックしてください。
インポートしたクエリーを確認します。
Viewing as Content Administratorの右のメニューをクリックしてください。
「View as Me」をクリックしてください。
「Switch View and Close All Tabs」をクリックしてください。
画面が切り替わり、ALLIGATEフォルダとその直下にインポートしたクエリーが表示されます。
「List of employees currently working」をクリックしてください。
クエリーの実行結果が表示されます。