日志管理筛选器中使用的运算符与在交互式分析的筛选器中使用的运算符在名称上没有一一对应关系。但是,您可以选择为两种格式生成类似结果的运算符。

在使用 日志管理页面的以下选项卡中的 在交互式分析中运行菜单项时,这种差异是非常重要的:
  • 日志屏蔽
  • 日志筛选
  • 日志转发
  • 索引分区
例如,如果您的日志管理筛选器为 匹配 *foo*,并且您选择 在交互式分析中运行菜单项,则交互式分析查询会将该日志管理筛选器视为等同于 匹配正则表达式 ^.*foo.*$,这可能不会匹配所有相同日志事件。

另一个例子是匹配 foo,在交互式分析上运行时,将其视为包含 foo。由于交互式分析功能还搜索关键字查询,因此,包含 foo 匹配的事件可能比匹配 foo 多。

您可以更改交互式分析使用的运算符以消除这些差异。

  • 包含运算符更改为匹配正则表达式
  • 将日志管理筛选器中出现的 * 更改为 .*,并在筛选词前面添加 .*。例如,将事件筛选器表达式匹配 *foo* 更改为匹配正则表达式 .*foo.* 以进行交互式分析。
  • 对于事件筛选器中的不匹配运算符,您可以使用匹配正则表达式运算符以及正则表达式前向值。例如,不匹配 *foo* 相当于匹配正则表达式 .*(?!foo).*。