私のブックマーク
ブックマークを追加
ブックマークを削除メッセージ構造APIの検索
テキストメッセージのリストの構造を検索します。
リクエスト
GET _text_structure/find_message_structure
POST _text_structure/find_message_structure
前提条件
- Elasticsearchのセキュリティ機能が有効になっている場合、このAPIを使用するには
monitor_text_structureまたはmonitorのクラスター権限が必要です。詳細はセキュリティ権限を参照してください。
説明
このAPIは、Elasticsearchにデータを取り込むための出発点を提供し、他のElastic Stack機能での後続の使用に適した形式です。このAPIは、入力テキストが他のプロセスによってすでに個別のメッセージに分割されている場合にfind_structureの代わりに使用してください。
APIからの応答には次の情報が含まれます:
- サンプルメッセージ。
- テキスト内で検出されたすべてのフィールドの最も一般的な値を示す統計と、数値フィールドの基本的な数値統計。
- テキストの構造に関する情報で、インデックス作成用の取り込み設定を書くときや、同様の形式のテキストに役立ちます。
- テキストを取り込むために使用できるElasticsearchインデックスの適切なマッピング。
このすべての情報は、構造ファインダーによってガイダンスなしで計算できます。ただし、1つ以上のクエリパラメータを指定することで、テキスト構造に関するいくつかの決定をオーバーライドすることもできます。
出力の詳細は例で確認できます。
構造ファインダーが予期しない結果を生成した場合は、explainクエリパラメータを指定すると、explanationが応答に表示されます。これは、返された構造が選択された理由を特定するのに役立ちます。
クエリパラメータ
column_names- (オプション、文字列)
formatをdelimitedに設定した場合、カンマ区切りのリストで列名を指定できます。このパラメータが指定されていない場合、構造ファインダーはテキストのヘッダー行から列名を使用します。テキストにヘッダー行がない場合、列は「column1」、「column2」、「column3」などと名付けられます。 delimiter- (オプション、文字列)
formatをdelimitedに設定した場合、各行の値を区切るために使用される文字を指定できます。サポートされるのは単一の文字のみで、区切り文字は複数の文字を持つことはできません。デフォルトでは、APIは次の可能性を考慮します:カンマ、タブ、セミコロン、およびパイプ(|)。このデフォルトのシナリオでは、すべての行は区切られた形式が検出されるために同じ数のフィールドを持つ必要があります。区切り文字を指定した場合、最初の行とは異なる列数を持つ行は最大10%まで許容されます。 explain- (オプション、ブール値)
trueの場合、応答にはexplanationという名前のフィールドが含まれ、これは構造ファインダーが結果を生成した方法を示す文字列の配列です。デフォルト値はfalseです。 format- (オプション、文字列) テキストの高レベルの構造。有効な値は
ndjson、xml、delimited、およびsemi_structured_textです。デフォルトでは、APIは形式を選択します。このデフォルトのシナリオでは、すべての行は区切られた形式が検出されるために同じ数のフィールドを持つ必要があります。ただし、formatがdelimitedに設定され、delimiterが設定されていない場合、APIは最初の行とは異なる列数を持つ行を最大5%まで許容します。 grok_pattern- (オプション、文字列)
formatをsemi_structured_textに設定した場合、テキスト内の各メッセージからフィールドを抽出するために使用されるGrokパターンを指定できます。Grokパターン内のタイムスタンプフィールドの名前は、timestamp_fieldパラメータで指定されたものと一致する必要があります。このパラメータが指定されていない場合、Grokパターン内のタイムスタンプフィールドの名前は「timestamp」と一致する必要があります。grok_patternが指定されていない場合、構造ファインダーはGrokパターンを作成します。 ecs_compatibility- (オプション、文字列) ECS準拠のGrokパターンとの互換性のモード。このパラメータを使用して、構造ファインダーがGrokパターンを作成する際に、レガシーの代わりにECS Grokパターンを使用するかどうかを指定します。有効な値は
disabledとv1です。デフォルト値はdisabledです。この設定は、%{CATALINALOG}のような全メッセージGrokパターンが入力に一致する場合に主に影響します。構造ファインダーが一般的な構造を特定しますが、意味がわからない場合、path、ipaddress、field1、およびfield2のような一般的なフィールド名がgrok_pattern出力に使用され、意味を知っているユーザーがこれらのフィールドの名前を変更して使用することを意図しています。 quote- (オプション、文字列)
formatをdelimitedに設定した場合、各行の値が改行や区切り文字を含む場合に、それらの値を引用するために使用される文字を指定できます。サポートされるのは単一の文字のみです。このパラメータが指定されていない場合、デフォルト値は二重引用符(")です。区切られたテキスト形式が引用を使用しない場合、回避策としてこの引数をサンプル内に出現しない文字に設定できます。 should_trim_fields- (オプション、ブール値)
formatをdelimitedに設定した場合、区切り文字の間の値から空白を削除するかどうかを指定できます。このパラメータが指定されていない場合、区切り文字がパイプ(|)の場合、デフォルト値はtrueです。それ以外の場合、デフォルト値はfalseです。 timeout- (オプション、時間単位) 構造分析にかかる最大時間を設定します。タイムアウトが切れたときに分析がまだ実行中の場合、分析は停止されます。デフォルト値は25秒です。
timestamp_field- (オプション、文字列) テキスト内の各レコードの主要なタイムスタンプを含むフィールドの名前。特に、テキストがインデックスに取り込まれた場合、これは
@timestampフィールドを埋めるために使用されるフィールドです。formatがsemi_structured_textの場合、このフィールドはgrok_patternの適切な抽出の名前と一致する必要があります。したがって、半構造化テキストの場合、grok_patternが指定されていない限り、このパラメータを指定しない方が良いです。
構造化テキストの場合、このパラメータを指定した場合、フィールドはテキスト内に存在する必要があります。
このパラメータが指定されていない場合、構造ファインダーは主要なタイムスタンプフィールドがどのフィールドであるか(ある場合)を決定します。構造化テキストの場合、テキストにタイムスタンプが含まれていることは必須ではありません。 timestamp_format- (オプション、文字列) テキスト内のタイムスタンプフィールドのJava時間形式。
サポートされているのはJava時間形式の文字グループのサブセットのみです:adddEEEEEEEHHHhMMMMMMMMMMmmssXXXXXyyyyyyzzz
さらに、S文字グループ(小数秒)の長さが1から9のものがssの後に発生し、ssから.、,または:で区切られている場合にサポートされます。スペースと句読点も許可されますが、?、改行およびキャリッジリターン、ならびにシングルクォートで囲まれたリテラルテキストは除外されます。たとえば、MM/dd HH.mm.ss,SSSSSS 'in' yyyyは有効なオーバーライド形式です。
このパラメータの貴重な使用例は、形式が半構造化テキストで、テキスト内に複数のタイムスタンプ形式があり、主要なタイムスタンプに対応する形式がわかっているが、完全なgrok_patternを指定したくない場合です。もう1つは、タイムスタンプ形式が構造ファインダーがデフォルトで考慮しない形式である場合です。
このパラメータが指定されていない場合、構造ファインダーは組み込みのセットから最適な形式を選択します。
特別な値nullが指定されている場合、構造ファインダーはテキスト内で主要なタイムスタンプを探しません。形式が半構造化テキストの場合、これは構造ファインダーがテキストを単一行メッセージとして扱う結果になります。
以下の表は、いくつかの例のタイムスタンプに対する適切なtimeformat値を提供します:
| 時間形式 | 表示 |
| :— | :— |
| yyyy-MM-dd HH:mm:ssZ | 2019-04-20 13:15:22+0000 |
| EEE, d MMM yyyy HH:mm:ss Z | Sat, 20 Apr 2019 13:15:22 +0000 |
| dd.MM.yy HH:mm:ss.SSS | 20.04.19 13:15:22.285 |
日付と時間の形式構文に関する詳細は、Javaの日付/時間形式のドキュメントを参照してください。
リクエストボディ
messages- (必須、文字列の配列) 分析したいメッセージのリスト。
例
Elasticsearchログファイルの分析
Elasticsearchのログメッセージのリストがあるとします。それをfind_message_structureエンドポイントに次のように送信できます:
Python
resp = client.text_structure.find_message_structure(body={"messages": ["[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128","[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]","[2024-03-05T10:52:41,042][INFO ][o.e.p.PluginsService ] [laptop] loaded module [rest-root]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-core]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-redact]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [ingest-user-agent]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-monitoring]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-s3]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-analytics]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-ent-search]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-autoscaling]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-painless]]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-expression]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-eql]","[2024-03-05T10:52:43,291][INFO ][o.e.e.NodeEnvironment ] [laptop] heap size [16gb], compressed ordinary object pointers [true]","[2024-03-05T10:52:46,098][INFO ][o.e.x.s.Security ] [laptop] Security is enabled","[2024-03-05T10:52:47,227][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] Profiling is enabled","[2024-03-05T10:52:47,259][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] profiling index templates will not be installed or reinstalled","[2024-03-05T10:52:47,755][INFO ][o.e.i.r.RecoverySettings ] [laptop] using rate limit [40mb] with [default=40mb, read=0b, write=0b, max=0b]","[2024-03-05T10:52:47,787][INFO ][o.e.d.DiscoveryModule ] [laptop] using discovery type [multi-node] and seed hosts providers [settings]","[2024-03-05T10:52:49,188][INFO ][o.e.n.Node ] [laptop] initialized","[2024-03-05T10:52:49,199][INFO ][o.e.n.Node ] [laptop] starting ..."]},)print(resp)
Ruby
response = client.text_structure.find_message_structure(body: {messages: ['[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128','[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]','[2024-03-05T10:52:41,042][INFO ][o.e.p.PluginsService ] [laptop] loaded module [rest-root]','[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-core]','[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-redact]','[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [ingest-user-agent]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-monitoring]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-s3]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-analytics]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-ent-search]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-autoscaling]','[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-painless]]','[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-expression]','[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-eql]','[2024-03-05T10:52:43,291][INFO ][o.e.e.NodeEnvironment ] [laptop] heap size [16gb], compressed ordinary object pointers [true]','[2024-03-05T10:52:46,098][INFO ][o.e.x.s.Security ] [laptop] Security is enabled','[2024-03-05T10:52:47,227][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] Profiling is enabled','[2024-03-05T10:52:47,259][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] profiling index templates will not be installed or reinstalled','[2024-03-05T10:52:47,755][INFO ][o.e.i.r.RecoverySettings ] [laptop] using rate limit [40mb] with [default=40mb, read=0b, write=0b, max=0b]','[2024-03-05T10:52:47,787][INFO ][o.e.d.DiscoveryModule ] [laptop] using discovery type [multi-node] and seed hosts providers [settings]','[2024-03-05T10:52:49,188][INFO ][o.e.n.Node ] [laptop] initialized','[2024-03-05T10:52:49,199][INFO ][o.e.n.Node ] [laptop] starting ...']})puts response
Js
const response = await client.textStructure.findMessageStructure({body: {messages: ["[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128","[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]","[2024-03-05T10:52:41,042][INFO ][o.e.p.PluginsService ] [laptop] loaded module [rest-root]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-core]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-redact]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [ingest-user-agent]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-monitoring]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-s3]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-analytics]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-ent-search]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-autoscaling]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-painless]]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-expression]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-eql]","[2024-03-05T10:52:43,291][INFO ][o.e.e.NodeEnvironment ] [laptop] heap size [16gb], compressed ordinary object pointers [true]","[2024-03-05T10:52:46,098][INFO ][o.e.x.s.Security ] [laptop] Security is enabled","[2024-03-05T10:52:47,227][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] Profiling is enabled","[2024-03-05T10:52:47,259][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] profiling index templates will not be installed or reinstalled","[2024-03-05T10:52:47,755][INFO ][o.e.i.r.RecoverySettings ] [laptop] using rate limit [40mb] with [default=40mb, read=0b, write=0b, max=0b]","[2024-03-05T10:52:47,787][INFO ][o.e.d.DiscoveryModule ] [laptop] using discovery type [multi-node] and seed hosts providers [settings]","[2024-03-05T10:52:49,188][INFO ][o.e.n.Node ] [laptop] initialized","[2024-03-05T10:52:49,199][INFO ][o.e.n.Node ] [laptop] starting ...",],},});console.log(response);
コンソール
POST _text_structure/find_message_structure{"messages": ["[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128","[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]","[2024-03-05T10:52:41,042][INFO ][o.e.p.PluginsService ] [laptop] loaded module [rest-root]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-core]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-redact]","[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [ingest-user-agent]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-monitoring]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-s3]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-analytics]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-ent-search]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-autoscaling]","[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-painless]]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-expression]","[2024-03-05T10:52:41,059][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-eql]","[2024-03-05T10:52:43,291][INFO ][o.e.e.NodeEnvironment ] [laptop] heap size [16gb], compressed ordinary object pointers [true]","[2024-03-05T10:52:46,098][INFO ][o.e.x.s.Security ] [laptop] Security is enabled","[2024-03-05T10:52:47,227][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] Profiling is enabled","[2024-03-05T10:52:47,259][INFO ][o.e.x.p.ProfilingPlugin ] [laptop] profiling index templates will not be installed or reinstalled","[2024-03-05T10:52:47,755][INFO ][o.e.i.r.RecoverySettings ] [laptop] using rate limit [40mb] with [default=40mb, read=0b, write=0b, max=0b]","[2024-03-05T10:52:47,787][INFO ][o.e.d.DiscoveryModule ] [laptop] using discovery type [multi-node] and seed hosts providers [settings]","[2024-03-05T10:52:49,188][INFO ][o.e.n.Node ] [laptop] initialized","[2024-03-05T10:52:49,199][INFO ][o.e.n.Node ] [laptop] starting ..."]}
リクエストにエラーが発生しなかった場合、次の結果が得られます:
コンソール結果
{"num_lines_analyzed" : 22,"num_messages_analyzed" : 22,"sample_start" : "[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128\n[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]\n","charset" : "UTF-8","format" : "semi_structured_text","multiline_start_pattern" : "^\\[\\b\\d{4}-\\d{2}-\\d{2}[T ]\\d{2}:\\d{2}","grok_pattern" : "\\[%{TIMESTAMP_ISO8601:timestamp}\\]\\[%{LOGLEVEL:loglevel} \\]\\[.*","ecs_compatibility" : "disabled","timestamp_field" : "timestamp","joda_timestamp_formats" : ["ISO8601"],"java_timestamp_formats" : ["ISO8601"],"need_client_timezone" : true,"mappings" : {"properties" : {"@timestamp" : {"type" : "date"},"loglevel" : {"type" : "keyword"},"message" : {"type" : "text"}}},"ingest_pipeline" : {"description" : "Ingest pipeline created by text structure finder","processors" : [{"grok" : {"field" : "message","patterns" : ["\\[%{TIMESTAMP_ISO8601:timestamp}\\]\\[%{LOGLEVEL:loglevel} \\]\\[.*"],"ecs_compatibility" : "disabled"}},{"date" : {"field" : "timestamp","timezone" : "{{ event.timezone }}","formats" : ["ISO8601"]}},{"remove" : {"field" : "timestamp"}}]},"field_stats" : {"loglevel" : {"count" : 22,"cardinality" : 1,"top_hits" : [{"value" : "INFO","count" : 22}]},"message" : {"count" : 22,"cardinality" : 22,"top_hits" : [{"value" : "[2024-03-05T10:52:36,256][INFO ][o.a.l.u.VectorUtilPanamaProvider] [laptop] Java vector incubator API enabled; uses preferredBitSize=128","count" : 1},{"value" : "[2024-03-05T10:52:41,038][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-url]","count" : 1},{"value" : "[2024-03-05T10:52:41,042][INFO ][o.e.p.PluginsService ] [laptop] loaded module [rest-root]","count" : 1},{"value" : "[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [ingest-user-agent]","count" : 1},{"value" : "[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-core]","count" : 1},{"value" : "[2024-03-05T10:52:41,043][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-redact]","count" : 1},{"value" : "[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [lang-painless]]","count" : 1},{"value" : "[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [repository-s3]","count" : 1},{"value" : "[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-analytics]","count" : 1},{"value" : "[2024-03-05T10:52:41,044][INFO ][o.e.p.PluginsService ] [laptop] loaded module [x-pack-autoscaling]","count" : 1}]},"timestamp" : {"count" : 22,"cardinality" : 14,"earliest" : "2024-03-05T10:52:36,256","latest" : "2024-03-05T10:52:49,199","top_hits" : [{"value" : "2024-03-05T10:52:41,044","count" : 6},{"value" : "2024-03-05T10:52:41,043","count" : 3},{"value" : "2024-03-05T10:52:41,059","count" : 2},{"value" : "2024-03-05T10:52:36,256","count" : 1},{"value" : "2024-03-05T10:52:41,038","count" : 1},{"value" : "2024-03-05T10:52:41,042","count" : 1},{"value" : "2024-03-05T10:52:43,291","count" : 1},{"value" : "2024-03-05T10:52:46,098","count" : 1},{"value" : "2024-03-05T10:52:47,227","count" : 1},{"value" : "2024-03-05T10:52:47,259","count" : 1}]}}}
応答形式の詳細な説明や、区切られたテキスト(CSVなど)や改行区切りのJSONの取り込みに関する追加の例については、テキスト構造エンドポイントの例を参照してください。
