Bei Operatoren, die in Protokollverwaltungsfiltern verwendet werden, und Operatoren, die in Filtern auf der Seite „Protokolle durchsuchen“ verwendet werden, sind bezüglich ihres Namens nicht eins zu eins identisch. Sie können jedoch Operatoren auswählen, die für beide Formate vergleichbare Ergebnisse erzeugen.

Dieser Unterschied ist wichtig, wenn Sie das Menüelement Auf der Seite „Protokolle durchsuchen“ ausführen auf den folgenden Registerkarten der Seite Protokollverwaltung verwenden:
  • Protokollmaskierung
  • Protokolle filtern
  • Protokollweiterleitung
  • Cloud-Weiterleitung
  • Indexpartitionen
Wenn Sie beispielsweise einen Protokollverwaltungsfilter mit der Einstellung entspricht *foo* haben und das Menüelement Auf der Seite „Protokolle durchsuchen“ ausführen auswählen, wandelt die Abfrage für „Protokolle durchsuchen“ den Protokollverwaltungsfilter in match regexp ^.*foo.*$ um, wodurch möglicherweise nicht alle für die Filterung vorgesehenen Protokollereignisse abgedeckt werden.

Ein weiteres Beispiel ist die Einstellung entspricht foo, die bei der Ausführung für „Protokolle durchsuchen“ als enthält foo behandelt wird. Da die Funktion „Protokolle durchsuchen“ auch Schlüsselwortabfragen durchsucht, wird enthält foo wahrscheinlich mit mehr Ereignissen übereinstimmen als entspricht foo.

Sie können die Operatoren von „Protokolle durchsuchen“ verwenden, um diese Unterschiede zu beheben.

  • Ändern Sie den Operator enthält in entspricht Regex.
  • Ändern Sie die Vorkommnisse von * von den Protokollverwaltungsfiltern in .* und Präfixfilterbegriffe mit .*. Ändern Sie z. B. den Ereignisfilter-Ausdruck entspricht *foo* in entspricht Regex .*foo.* für „Protokolle durchsuchen“.
  • Für den entspricht nicht-Operator aus den Ereignisfiltern können Sie den Operator entspricht Regex mit einem Regex Lookahead-Wert verwenden. Beispielsweise ist entspricht nicht *foo* gleichbedeutend mit entspricht Regex .*(?!foo).*