{"id":74954,"date":"2026-04-22T12:40:33","date_gmt":"2026-04-22T20:40:33","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/join-operator-und-query-agent-fuer-eine-intelligentere-protokollanalyse"},"modified":"2026-06-24T08:31:24","modified_gmt":"2026-06-24T16:31:24","slug":"using-the-join-operator","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/using-the-join-operator","title":{"rendered":"Join-Operator und Query Agent f\u00fcr eine intelligentere Protokollanalyse"},"content":{"rendered":"\n
\n
\n
\n
\n
\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Die Protokollanalysefunktionen von Sumo Logic<\/a> haben schon immer die wichtigsten Erkenntnisse geliefert, um Ihnen bei der Sicherung, \u00dcberwachung und Fehlerbehebung Ihrer Umgebung zu helfen. Mit unserem Query Agent<\/a>, der Teil von Dojo AI<\/a> ist, ist die Erstellung optimierter Protokoll-Suchen in nat\u00fcrlicher Sprache jetzt noch einfacher. <\/p>\n\n\n\n

Query Agent arbeitet mit einer Vielzahl von Operatoren, einschlie\u00dflich des Join-Operators<\/a>, f\u00fcr Parsing, Aggregation, Datentransformation, Filterung, erweiterte Analyse und Nachschlagevorg\u00e4nge. Der Join-Operator bringt die Essenz eines SQL-JOIN in Ihren Strom unstrukturierter Daten und bietet Ihnen dadurch noch mehr Flexibilit\u00e4t.<\/p>\n\n\n\n

Was ist der Join-Operator?<\/h2>\n\n\n\n

Bei einem Standard-Join in relationalen Datenbanken sind die Datens\u00e4tze in den zu verkn\u00fcpfenden Tabellen zum Zeitpunkt der Abfrage festgelegt. Die Zuordnung von IDs in Protokollmeldungen verschiedener Tage innerhalb des Suchzeitraums f\u00fchrt jedoch wahrscheinlich zu einem falschen Ergebnis, da Aktionen von gestern nicht mit einem heutigen Anmeldeereignis verkn\u00fcpft werden sollten. <\/p>\n\n\n\n

Aus diesem Grund bietet unser Join-Operator einen festgelegten gleitenden Zeitrahmen f\u00fcr das Zusammenf\u00fchren von Protokollnachrichten.<\/p>\n\n\n\n

Im folgenden Diagramm stellen die rosa und orangefarbenen Bereiche zwei Str\u00f6me unterschiedlicher Protokollmeldungen dar. Beide enthalten ein Schl\u00fcssel-Wert-Paar, das wir vergleichen m\u00f6chten, und die Nachrichten werden anhand dieses Schl\u00fcssel-Wert-Paares verkn\u00fcpft, wenn beide innerhalb des durch die schwarze Box angegebenen Zeitfensters auftreten.<\/p>\n\n\n\n

<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

<\/p>\n\n\n\n

Der Join-Operator in der Praxis<\/h3>\n\n\n\n

Wenden wir das nun an. Angenommen, eine Anwendung hat sowohl reale als auch maschinell gesteuerte Benutzer. Sie m\u00f6chten wissen, welche Benutzer welche sind, um m\u00f6gliche maschinell gesteuerte Benutzer, die die Leistung beeintr\u00e4chtigen k\u00f6nnten, im Auge behalten zu k\u00f6nnen. <\/p>\n\n\n\n

Wie sich herausstellt, erstellen menschliche Benutzer Anfragen mit einer vergleichsweise geringen Rate, w\u00e4hrend maschinell gesteuerte Benutzer (die \u00fcber eine API zugreifen) mehrere Anfragen pro Sekunde generieren k\u00f6nnen, und zwar immer unmittelbar nach dem Anmeldevorgang.<\/p>\n\n\n\n

In diesen Protokollen gehen verschiedene Meldungen mit unterschiedlichen Zwecken und Werten ein. Mithilfe des Join-Operators k\u00f6nnen Sie sowohl Anmelde- als auch Anforderungsereignisse abfragen und anschlie\u00dfend das Zeitfenster der Abgleichlogik einschr\u00e4nken, um die beiden Nachrichtenstr\u00f6me zu kombinieren. Die beiden Unterabfragen meiner Suche suchen nach Anfrage-\/Abfrageereignissen bzw. Anmeldeereignissen. <\/p>\n\n\n\n

Das Matching-Fenster ist auf nur 15 Sekunden begrenzt, um Anfragen zu identifizieren, die sehr nahe am Login-Ereignis auftreten. Anschlie\u00dfend k\u00f6nnen Sie Benutzer herausfiltern, die innerhalb von 15 Sekunden nach dem Login weniger als zehn Anfragen gestellt haben. Das Ergebnis ist eine klare \u00dcbersicht \u00fcber die Nutzer, die unmittelbar nach dem Einloggen aktiv eine gro\u00dfe Anzahl von Anfragen \u00fcber die API stellen. <\/p>\n\n\n\n

Hier ist meine Beispielabfrage:<\/p>\n\n\n\n 

(login or (creating query))\n| join\n (parse \"Creating query: '*'\" as query, \"auth=User:*:\" as user) as query,\n (parse \"Login success for: '*'\" as user) as login\n on query.user = login.user\n timewindow 15s\n| count by query_user\n| where _count > 10\n| sort _count<\/pre> \n\n\n\n
Wie Sie der obigen Syntax entnehmen k\u00f6nnen, verwenden die Unterabfragen dieselbe Syntax wie Standard-Protokollsuchen und unterst\u00fctzen sogar Aggregatfunktionen (Anzahl, Summe, Durchschnitt usw.), sodass Sie komplexe Ergebnisse miteinander verkn\u00fcpfen und die ben\u00f6tigten Erkenntnisse gewinnen k\u00f6nnen.<\/p>\n\n\n\n
Sumo Logic unterst\u00fctzt au\u00dferdem das Zusammenf\u00fchren von mehr als nur zwei Protokollstr\u00f6men, sodass Sie alle Ihre bevorzugten Daten in einer einzigen Abfrage kombinieren k\u00f6nnen.<\/p>\n\n\n\n
Was ist der Dojo AI Query Agent?<\/h2>\n\n\n\n
Das Schreiben einer Join-Abfrage mit der richtigen Syntax, dem richtigen Zeitfenster und der richtigen Matching-Logik kann knifflig sein, insbesondere wenn Sie mit mehreren Protokollstr\u00f6men arbeiten. Der Query Agent vereinfacht diesen Prozess. <\/p>\n\n\n\n
Der Query Agent, ein Teil unseres Teams von Dojo AI-Agenten<\/a>, der \u00fcber Mobot<\/a> aufgerufen werden kann, \u00fcbersetzt Ihre Fragen in nat\u00fcrlicher Sprache in Sumo Logic-Protokollsuchanfragen, um Ihnen zu helfen, mit einem Prompt optimierte Abfragen zu erstellen.<\/p>\n\n\n\n
Das folgende Beispiel zeigt, wie ein Benutzer den Query Agent \u00fcber Mobot auffordern kann, einen Join-Befehl zu erstellen, wodurch das Zusammenf\u00fchren von Protokollen f\u00fcr eine Suche vereinfacht wird. Im folgenden Screenshot fordert der Benutzer den Query Agent auf, die \u00c4nderungsprotokolle eines Dienstes mit den Anwendungsprotokollen zu verkn\u00fcpfen, um nach einem Statuscode zu suchen.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Zus\u00e4tzlich zur Anzeige der Ergebnisse weist der Query Agent darauf hin, dass ein Join verwendet wurde, und zeigt wichtige Beobachtungen an, wie z. B. die Latenz. Er stellt au\u00dferdem den genauen Suchbefehl bereit, der im Protokollsuchbereich einfach verwendet oder ge\u00e4ndert werden kann. Um die Suchanfrage verst\u00e4ndlicher zu gestalten, enth\u00e4lt der Query Agent eine klare Erl\u00e4uterung der Suche, in der die wichtigsten Komponenten und deren Zusammenh\u00e4nge erl\u00e4utert werden.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/p>\n\n\n\n
Schlussbemerkung<\/h2>\n\n\n\n
Der Join-Operator erm\u00f6glicht es Ihnen, Datens\u00e4tze aus zwei oder mehr Datenstr\u00f6men dynamisch zu einem einzigen Ergebnissatz zu kombinieren und funktioniert \u00e4hnlich wie ein SQL-Inner-Join. Der Join-Operator und andere Operatoren wurden durch Dojo AI-Agenten erweitert. <\/p>\n\n\n\n
Erfahren Sie, wie Dojo AI Ihnen bei der \u00dcberwachung, Fehlerbehebung und Sicherung Ihrer Umgebung helfen kann. Sehen Sie es in Aktion<\/a>.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/section>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":377,"featured_media":72457,"template":"","meta":{"_acf_changed":false,"show_custom_date":false,"custom_date":"","featured":false,"featured_image":0,"learn_more_label":"","image_alt_text":"","learn_more_type":"","show_popup":false,"learn_more_link_file":0,"event_date":false,"event_start_date":"","event_end_date":"","place_holder_image_url":"","post_reading_time":"3","notification_enabled":false,"notification_text":"","notification_logo":"","notification_expiration_time":0,"is_enable_transparent_header":false,"selected_taxonomy_terms":{"blog-category":[256,257,355],"blog-tag":[],"translation_priority":[221]},"selected_primary_terms":[],"learn_more_link":[],"featured_page_list":[],"notification_enabled_post_list":[],"_gspb_post_css":"","_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"74958,74992,75007","_relevanssi_noindex_reason":"","inline_featured_image":false,"footnotes":""},"blog-category":[256,257,355],"blog-tag":[],"class_list":["post-74954","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog-category-devops-it-operations","blog-category-secops-security","blog-category-ai"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/74954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/users\/377"}],"version-history":[{"count":2,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/74954\/revisions"}],"predecessor-version":[{"id":75048,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/74954\/revisions\/75048"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media\/72457"}],"wp:attachment":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media?parent=74954"}],"wp:term":[{"taxonomy":"blog-category","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-category?post=74954"},{"taxonomy":"blog-tag","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-tag?post=74954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}