検索エンジンと同様に、テキストデータは用語に基づいて照会されます。 したがって、オプションを含む単語セグメンテーション、大文字と小文字の区別を設定する必要があります。

注意事項

大文字と小文字を区別

生ログを照会するときに大文字小文字を区別するかどうかを決定します。例えば、生ログは internalError です。

  • 大文字小文字の区別スイッチをオフにすると、サンプルログは、キーワード INTERNALERROR または internalerror に基づいて照会することができます。
  • 大文字小文字の区別スイッチをオンにすると、サンプルログはキーワード internalError に基づいてのみ照会できます。

トークン

トークンを使用すると、生ログの内容をいくつかのキーワードに分けることができます。

たとえば、生ログは

/url/pic/abc.gifです。
  • トークンが設定されていない場合、その文字列は個別の単語 /url/pic/abc.gifと見なされます。 完全な文字列や /url/pic/* のようなファジーマッチだけを使ってこのログを照会することができます。
  • /がトークンとして設定されている場合、生ログは urlpic abc.gifの 3 つの単語に分けられます。 このログは、 urlabc.gif pi *のように、3 つの単語やファジーマッチのいずれかを使って照会することができます。 また、 /url/pic/abc.gifを使ってこのログを照会することもできます(/url/pic/abc.gif は url、pic、 abc.gif」)。
  • / .がトークンとして設定されている場合、生ログはurlpicabcgifの 4 つの単語に分かれています。
適切なトークンを設定することによって、クエリの範囲を広げることができます。

全文索引

既定では、フルテキストクエリ(インデックス)は、時間フィールドを除くログのすべてのフィールドとキーをテキストデータとみなし、キーを指定する必要はありません。 たとえば、次のログは 4 つのフィールド(時間/ステータス/レベル/メッセージ)で構成されます。

[20180102 12:00:00] 200,error,some thing is error in this field
  • 時間:2018-01-02 12:00:00
  • レベル:error
  • ステータス:200
  • メッセージ:an error occurred in this field

全文索引を有効にすると、次のテキストデータが「key:value + space」モードで組み立てられます。

status:200 level:error message:"some thing is error in this field"
  • プレフィックスはフルテキストクエリには必要ありません。 キーワードとして error と入力すると、レベルフィールドとメッセージフィールドの両方がクエリ条件を満たします。
  • フルテキストクエリのトークンを設定する必要があります。 スペースがトークンとして設定されている場合、 status:200 はフレーズと見なされます。 :がトークンとして設定されている場合、 status と 200 は 2 つの独立したフレーズと見なされます。
  • 数値はテキストとして処理されます。 たとえば、キーワード 200 を使用してこのログを照会することができます。 時間フィールドはテキストとして処理されません。
  • status のようなキーを入力すると、このログを問い合わせることができます。