可以使用一键式提取功能,来代替键入上下文值以动态提取字段。

一键式提取可以填充与在日志事件中选择的字段相对应的所有上下文值。

注: 一键式提取选项仅在“事件”选项卡中可用。

前提条件

确认您已经以与“用户”角色关联的用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 VMware Aria Operations for Logs Web 用户界面。有关详细信息,请参见《管理 VMware Aria Operations for Logs中的创建和修改角色。Web 用户界面的 URL 格式为 https://operations_for_logs-host,其中 operations_for_logs-hostVMware Aria Operations for Logs 虚拟设备的 IP 地址或主机名。

过程

  1. 展开主菜单并单击浏览日志
  2. 在日志事件列表中,突出显示表示要提取的字段的文本。
    将在此事件中存在的字段名称集上方显示一个操作菜单。
  3. 单击提取字段
    将使用提取突出显示字段所需的上下文自动填充“字段”窗格中的前后上下文值。
  4. (可选) 在“字段”窗格中修改“提取的值”正则表达式。
  5. (可选) 在“字段”窗格中修改“上文”和“下文”正则表达式。
  6. (可选) 单击 "" 添加其他上下文以添加其他关键字和筛选器。
    可以添加一个或多个关键字,并将单个静态字段用作筛选器。
  7. 如果您是管理员或是具有与浏览日志 > 已提取字段权限对应的编辑访问权限的用户,则可从下拉菜单中选择可以访问该字段的用户。
    选项 描述
    所有用户 所有用户都将在其事件中和筛选器下拉菜单中看到该字段。
    只是我 只有字段的创建者会在其事件中和筛选器下拉菜单中看到该字段。
  8. (可选) 在“字段”窗格顶部,单击 "",然后单击编辑以向该字段添加备注。在编辑备注窗口中添加备注,然后单击确定
  9. 单击保存

下一步做什么

您可以使用已提取字段来搜索和筛选日志事件的列表,或在“浏览日志”图表中汇总事件。

如果不再需要,可以修改或删除已保存字段的定义。