Bewährte Praktiken beim Erstellen von Meldungsabfragen

Grundlagen für das Erstellen von Meldungsabfragen

Sie können Meldungsabfragen über die Suchleiste eingeben oder durch die Eingabe von Filtern.

Mit der Suchleiste können Sie die Suchergebnisse nach Ereignissen in einer vRealize Log Insight-Instanz filtern. Sie können einen Filter zwar anstelle der Suchleiste verwenden, aber Abfragen, die über die Suchleiste durchgeführt werden, sind oft leichter nachzuvollziehen als Abfragen mit einem gleichwertigen Filter. Daher hat es sich bewährt, nach Möglichkeit die Suchleiste zu verwenden statt einem gleichwertigen Filter.

Mit einem Filter können Sie Abfragen mithilfe eines regulären Ausdrucks, eines Felds, eines logischen ODER-Operators oder einer Kombination aus Suchleisten- und Filterabfragen erstellen.

Beim Erstellen von Abfragen mithilfe der Suchleiste und Filtern haben sich die folgenden Praktiken bewährt:

Achten Sie darauf, dass die Abfragen nicht umgebungsspezifisch sind. Öffentliche Inhaltspakete müssen generisch für jede Umgebung sein und dürfen sich daher nicht auf umgebungsspezifische Informationen stützen. Beispiele für umgebungsspezifische Informationen sind Quelle, Hostname und möglicherweise der Betrieb, sofern dieser local* verwendet.
Verwenden Sie beim Aufbau einer Abfrage nach Möglichkeit Schlüsselwörter. Wenn Schlüsselwörter nicht ausreichen, verwenden Sie Globs, und wenn Globs nicht ausreichend sind, verwenden Sie reguläre Ausdrücke. Schlüsselwortabfragen sind der am wenigsten ressourcenintensive Abfragetyp. Globs sind eine vereinfachte Form von regulären Ausdrücken. Sie sind die am zweitwenigsten ressourcenintensive Art der Abfrage. Reguläre Ausdrücke sind der ressourcenintensivste Abfragetyp.
Geben Sie bei der Verwendung von regulären Ausdrücken oder Feldern so viele Schlüsselwörter an wie möglich. Wenn ein regulärer Ausdruck den logischen Operator ODER enthält, beispielsweise dies|jenes, sollten Sie keine Schlüsselwörter aufnehmen. vRealize Log Insight ist dahingehend optimiert, dass Schlüsselabfragen vor Abfragen mit regulären Ausdrücken ausgeführt werden, um unerwünschte Treffer für reguläre Ausdrücke möglichst weit einzugrenzen.