可以使用现有字段的列表搜索其中某个字段具有特定值的日志事件。

重要说明: vRealize Log Insight会对完整、字母数字、连字符和下划线字符编制索引。

前提条件

确认您已经以与“用户”角色关联的用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 vRealize Log Insight Web 用户界面。有关详细信息,请参见《管理 vRealize Log Insight中的创建和修改角色。该 Web 用户界面的 URL 格式为 https://log_insight-host,其中 log_insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。

过程

  1. 展开主菜单并单击浏览日志
  2. 单击添加筛选器
  3. 在搜索文本框下方的筛选器行中,使用第一个下拉菜单选择在 vRealize Log Insight 中定义的任何字段。
    例如, hostnametext_index 等。如果选择 _index 字段,则可以从现有索引分区中查询日志,此时会根据分区筛选器列出一部分特定事件并快速呈现结果。
    此列表包含在内容包和自定义内容中静态可用的所有定义字段。这些字段按名称排序,但 text_index 字段除外。因为 text 是一个表示消息文本的特殊字段, text 显示在列表顶部,默认情况下处于选中状态。由于 _index 还是一个表示索引分区的特殊字段, _index 显示在列表中的 text 字段之后。
    注: 数字字段包含字符串字段不包含的其他运算符: =><>=<=。这些运算符执行数字比较,与使用字符串运算符相比,使用它们可生成不同的结果。例如,筛选器 response_time = 02 将匹配包含值为 2 的 response_time 字段的事件。筛选器 response_time contains 02 将不会具有相同匹配。
  4. 在搜索文本框下方的筛选器行中,使用第二个下拉菜单选择要应用于在第一个下拉菜单中选择的字段的运算。
    例如:
    • 选择 isis not。这些筛选器将匹配全名。如果对 _index 字段使用 is,则会匹配存储在指定索引分区中的所有事件。如果对 _index 字段使用 is not,则会匹配未存储在指定索引分区中的所有事件。
    • 选择 containscontains 筛选器匹配完整令牌:搜索“err”将不会查找“error”作为匹配项。如果对 _index 字段使用 contains,则会匹配所有现有索引分区中的 glob 模式。
  5. 在此筛选器下拉菜单右侧的文本框中,键入要用作筛选器的值。
    可以列出以逗号分隔的多个值。这些值之间的运算符是 OR。
    注: 如果在第二个下拉菜单中选择 exists 运算符,则此文本框不可用。
  6. (可选) 要添加更多筛选器,请单击添加筛选器
    注: 您只能添加一个使用 _index 字段的筛选器。但是,在添加含 _index 字段的筛选器后,还可以添加多个使用其他字段的筛选器。
    此时将在筛选器行上方显示一个切换按钮。
  7. (可选) 对于多个筛选器行,请选择筛选器之间的运算符。
    选项 描述
    全部 选择以在筛选器行之间应用 AND 运算
    任何 选择以在筛选器行之间应用 OR 运算
    默认情况下, 全部处于选中状态。
    注: _index 字段被视为补充字段。如果某个筛选器中包含此字段,则将使用 AND 运算符将该筛选器与包含其他字段的筛选器组合在一起。但是,您可以选择 OR 运算符将不包含 _index 字段的筛选器组合在一起。
  8. 单击搜索按钮。

示例: 搜索其名称中包含常见字符串的主机组

假定您拥有多个主机,其中一个主机称为 w1-stvc-205-prod3,另一个主机称为 w1-stvc-206-prod5。

要查找这两个主机的所有日志,请创建以下查询。

  1. 保留搜索文本框为空。
  2. 定义筛选器。
    1. 从第一个下拉菜单中选择主机名
    2. 从运算符下拉菜单中选择开头为
    3. 在值文本框中键入 w1-stvc

    或者,您可以使用 contains 运算符,但之后必须在搜索值中使用通配符匹配操作符。在此示例中,必须在值文本框中键入 w1-stvc-*

  3. 单击搜索按钮。

下一步做什么

可以保存当前查询,以便在以后加载。