Felder sind eine leistungsstarke Möglichkeit, unstrukturierte Ereignisse mit einer Struktur zu versehen, und ermöglichen die Veränderung textueller und visueller Darstellungen von Daten.

Felder gehören zu den wichtigsten Bestandteilen in einem Inhaltspaket, weil sie auf unterschiedliche Weise eingesetzt werden können, z. B. für Zusammenfassungen und Filter. Mit Zusammenfassungen können Sie Funktionen und Gruppierungen auf Felder anwenden. Mit Filtern können Sie Vorgänge für Felder ausführen.

Sie müssen die Teile einer Protokollmeldung, die für eine Abfrage oder Zusammenfassung relevant sein können, extrahieren. Felder sind ein Abfragetyp, der auf regulären Ausdrücken basiert. Sie sind hilfreich beim Abgleich komplexer Muster, weil Sie komplizierte reguläre Ausdrücke so nicht kennen, im Gedächtnis behalten oder lernen müssen.

Feldkontextwert Definition
Regex vor Wert Nehmen Sie so viele Schlüsselwörter wie möglich auf. Wenn dieses Feld leer ist oder nur Sonderzeichen enthält, muss der Regex nach dem Wert Schlüsselwörter enthalten.
Regex nach Wert Nehmen Sie so viele Schlüsselwörter wie möglich auf. Wenn dieses Feld leer ist oder nur Sonderzeichen enthält, muss der Regex vor dem Wert Schlüsselwörter enthalten.
Name Verwenden Sie nur alphanumerische Zeichen. Achten Sie darauf, dass alle Zeichen in Kleinschrift geschrieben sind, und verwenden Sie Unterstriche anstelle von Leerzeichen, weil die Felder dadurch leichter angezeigt werden können. Denken Sie daran, dass Namen für Inhaltspaketfelder und Benutzerfelder identisch sein können, aber Inhaltspaketfelder haben rechts vom Feldnamen einen Namespace in Klammern. Stellen Sie den Inhaltspaketfeldern der Eindeutigkeit halber eine Abkürzung als Präfix voran, z. B. „vmw_“.
Begriffe für die Schlüsselwortsuche Durch Leerzeichen getrennte Schlüsselwörter, die innerhalb von Ereignissen vorkommen, welche das Feld enthalten.
Filter

Ein statisches Feld, ein Operator und ein potenzieller Wert, der innerhalb von Ereignissen vorkommt, welche das Feld enthalten.

Diese werden häufig in Verbindung mit dem VMware Aria Operations for Logs-Agent und Tags für Ereignisse verwendet, die keine Schlüsselwörter enthalten.
Informationen (Schaltfläche „i“) Dient zur Bereitstellung von Informationen über das Feld, wie zum Beispiel über dessen Bedeutung, darüber, welche potenziellen Werte ausgegeben werden könnten, und möglicherweise eine benutzerfreundliche Zuordnung von Werten zu für den Menschen verständlichen Informationen.

Best Practices

Zusätzlich zu den diversen Komponenten, die ein Feld bilden, sollten einige bewährte Praktiken beachtet werden.

  • Erstellen Sie nur Felder für reguläre Ausdrucksmuster. Wenn ein Feld mit Schlüsselwortabfragen abgefragt werden kann oder immer nur einen einzelnen Wert ausgibt, sollten Sie Schlüsselwortabfragen anstelle eines vordefinierten Felds verwenden. Wenn ein Feld nur zwei Werte ausgibt, sollten Sie den Aufbau einzelner Abfragen in Betracht ziehen, anstatt ein Feld zu extrahieren. Felder dienen dazu, unstrukturierte Daten mit einer Struktur zu versehen. Außerdem bieten sie eine Möglichkeit, Daten zu bestimmten Teilen eines Ereignisses abzufragen.
  • Erstellen Sie nur Felder für reguläre Ausdrucksmuster, die einen Teil der gesamten Ereignisse ausgeben. Felder, die mit den meisten Ereignissen übereinstimmen und/oder eine sehr große Anzahl an Ergebnissen ausgeben, eignen sich nicht besonders gut für die Feldextraktion. Der reguläre Ausdruck muss auf eine große Menge von Ereignissen angewandt werden. Dies führt zu einem ressourcenintensiven Vorgang. Fügen Sie nach Möglichkeit weitere Schlüsselwörter hinzu, um die Zahl der ausgegebenen Ergebnisse einzugrenzen und die Abfrage zu optimieren.
  • Wenn ein Feld Schlüsselwörter innerhalb der Syntax eines regulären Ausdrucks enthält, fügen Sie diese Schlüsselwörter als Filter ohne die Syntax des regulären Ausdrucks hinzu. Beispiel: Wenn der Wert oder der Kontext eines Felds Schlüsselwörter innerhalb der Syntax eines regulären Ausdrucks, z. B. dies|jenes, enthält, fügen Sie die Schlüsselwörter als Textfilter hinzu, um die Abfrage zu optimieren, z. B. Text enthält dies, jenes.
  • Die Verwendung eines weiteren Kontexts mit einem oder mehreren Schlüsselwörtern empfiehlt sich bei komplexen regulären Ausdrücken im vorhergehenden oder nachfolgenden Kontext.
  • Fügen Sie zur Optimierung der Abfrageleistung weiteren Kontext zu allen extrahierten Feldern hinzu.