可以复制已提取字段。

当您希望从事件中提取多个字段且这些字段都出现在类似上下文中时,可以使用“复制”选项。提取某个字段并将其保存后,打开已提取字段的定义,然后使用“复制”选项。复制的字段具有与原始提取字段完全相同的定义。可以修改复制字段的定义,以匹配您感兴趣的事件中的另一个值。

普通用户仅可以复制其自己的内容。管理员用户可以修改其自己的内容及其共享内容。

前提条件

确认您已经以与“用户”角色关联的用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 VMware Aria Operations for Logs Web 用户界面。有关详细信息,请参见《管理 VMware Aria Operations for Logs中的创建和修改角色。Web 用户界面的 URL 格式为 https://operations_for_logs-host,其中 operations_for_logs-hostVMware Aria Operations for Logs 虚拟设备的 IP 地址或主机名。

过程

  1. 展开主菜单并单击浏览日志
  2. 在“字段”窗格顶部,单击管理已提取字段 "",并从列表中选择一个已提取字段。
  3. 单击复制以创建此字段的副本。
  4. (可选) 在“字段”窗格中修改“提取的值”正则表达式。
  5. (可选) 在“字段”窗格中修改“上文”和“下文”正则表达式。
  6. (可选) 单击 "" 添加其他上下文以添加其他关键字和筛选器。
    可以添加一个或多个关键字,并将单个静态字段用作筛选器。
  7. 如果您是管理员或是具有与浏览日志 > 已提取字段权限对应的编辑访问权限的用户,则可从下拉菜单中选择可以访问该字段的用户。
    选项 描述
    所有用户 所有用户都将在其事件中和筛选器下拉菜单中看到该字段。
    只是我 只有字段的创建者会在其事件中和筛选器下拉菜单中看到该字段。
  8. 单击保存

下一步做什么

您可以使用已提取字段来搜索和筛选日志事件的列表,或在“浏览日志”图表中汇总事件。

如果不再需要,可以修改或删除已保存字段的定义。