事件筛选器中使用的运算符与在交互式分析的筛选器中使用的运算符在名称上没有一一对应关系。但是,您可以选择为两种格式生成类似结果的运算符。

在使用事件转发页面中的在交互式分析中运行菜单项时,这种差异是非常重要的。例如,如果您的事件转发筛选器为匹配*foo*,并且您从“事件筛选器”页中选择在交互式分析中运行菜单项,则交互式分析查询会将该事件转发筛选器视为等同于匹配正则表达式^.*foo.* $,这可能不会匹配所有相同事件。

另一个例子是匹配foo,在交互式分析中运行时,会将其视为包含 foo。由于交互式分析功能还搜索关键字查询,因此,包含foo 匹配的事件可能比匹配foo 多。

您可以更改交互式分析使用的运算符以消除这些差异。

  • 包含运算符更改为匹配正则表达式
  • 将事件转发筛选器中出现的 * 更改为 .*,并在筛选词前面添加 .*。例如,将事件筛选器表达式匹配*foo* 更改为匹配正则表达式.*foo.* 以进行交互式分析。
  • 对于事件筛选器中的不匹配运算符,您可以使用匹配正则表达式运算符以及正则表达式前向值。例如,不匹配*foo* 相当于匹配正则表达式 .*(?!foo).*。