在具有许多日志事件的大型环境中,无法始终找到对您来说非常重要的数据字段。

VMware Aria Operations for Logs 提供了运行时字段提取来解决此问题。可以通过提供正则表达式从数据中动态提取任何字段。请参见正则表达式示例

注: 通用查询可能非常缓慢。例如,如果尝试通过使用 \(\d+\) 表达式来提取字段,则查询将返回包含用括号括起的数字的所有日志事件。验证您的查询是否包含尽可能多的文本上下文。例如, Event for vm\(\d+\) 是一个较好的字段提取查询。

您可以使用已提取字段来搜索和筛选日志事件的列表,或在“浏览日志”图表中汇总事件。

注: 提取的字段名称中可能包含不同的字符。但是,载入事件的字段名称必须仅以字母或下划线字符开头,并且只能包含字母、数字或下划线字符。