创建消息查询的基本概念。

可以通过使用搜索栏或通过输入筛选来输入消息查询。

使用搜索栏可在 VMware Aria Operations for Logs 实例中细化事件的结果。虽然可以使用筛选来代替搜索栏，但是利用搜索栏的查询通常比利用等效筛选的查询更易于理解。最佳做法是，尽可能使用搜索栏来代替等效筛选。

筛选允许您通过使用正则表达式、字段、逻辑 OR 运算或搜索栏和筛选查询的组合来创建查询。

通过使用搜索栏和筛选创建查询时，适用以下最佳做法：

• 确保查询不是特定于环境的。公用内容包需要通用于任何环境，因此不需要依赖于环境特定的信息。环境特定的信息示例包括源、主机名和潜在设施（如果设施使用 local*）。
• 构建查询时，如果可能请使用关键字，如果关键字不足请使用通配符匹配操作符，如果通配符匹配操作符不足请使用正则表达式。关键字查询是耗资源最少的查询类型。通配符匹配操作符是简化版的正则表达式，是耗资源较少的查询类型。正则表达式是耗资源最多的查询类型。
• 使用正则表达式或字段时，请提供尽可能多的关键字。如果正则表达式包括逻辑 OR（例如 this|that），则不要包括关键字。VMware Aria Operations for Logs 已经过优化，可在正则表达式之前执行关键字查询，以便最大程度减少正则表达式开销。