Bei Operatoren, die in Protokollverwaltungsfiltern verwendet werden, und Operatoren, die in Filtern in „Interaktive Analyse“ verwendet werden, liegt keine namentliche 1:1-Korrespondenz vor. Sie können jedoch Operatoren auswählen, die für beide Formate vergleichbare Ergebnisse erzeugen.

Dieser Unterschied ist wichtig, wenn Sie das Menüelement In „Interaktive Analyse“ ausführen auf den folgenden Registerkarten der Seite Protokollverwaltung verwenden.
  • Protokollmaskierung
  • Protokolle filtern
  • Protokollweiterleitung
  • Indexpartitionen
Wenn Sie beispielsweise einen Protokollverwaltungsfilter mit der Einstellung entspricht *foo* haben und auf der Seite „Ereignisfilter“ das Menüelement In „Interaktive Analyse“ ausführen auswählen, wandelt die „Interaktive Analyse“-Abfrage den Protokollverwaltungsfilter in match regexp ^.*foo.*$ um, wodurch möglicherweise nicht alle für die Filterung vorgesehenen Protokollereignisse abgedeckt werden.

Ein weiteres Beispiel ist entspricht foo, welches beim Ausführen in „Interaktive Analyse“ als enthält foo gehandhabt wird. Da die Funktion „Interaktive Analyse“ auch Schlüsselwortabfragen durchsucht, wird enthält foo wahrscheinlich mit mehr Ereignissen übereinstimmen als entspricht foo.

Sie können die Operatoren von „Interaktive Analyse“ verwenden, um diese Unterschiede zu beheben.

  • Ändern Sie den Operator enthält in entspricht Regex.
  • Ändern Sie die Vorkommnisse von * von den Protokollverwaltungsfiltern in .* und Präfixfilterbegriffe mit .*. Ändern Sie z. B. den Ereignisfilter-Ausdruck entspricht *foo* in entspricht Regex .*foo.* für „Interaktive Analyse“.
  • Für den entspricht nicht-Operator aus den Ereignisfiltern können Sie den Operator entspricht Regex mit einem Regex Lookahead-Wert verwenden. Beispielsweise ist entspricht nicht *foo* gleichbedeutend mit entspricht Regex .*(?!foo).*