Mit der Liste der vorhandenen Felder können Sie Protokollereignisse mit bestimmten Werten nach einem Feld durchsuchen.

Wichtig: vRealize Log Insight indiziert vollständige Begriffe, alphanumerische Begriffe, Bindestrich und Unterstrich.

Voraussetzungen

Vergewissern Sie sich, dass Sie bei der vRealize Log Insight-Web-Benutzeroberfläche als Benutzer mit der Rolle „Benutzer“ oder mit einer Rolle mit den entsprechenden Berechtigungen angemeldet sind. Weitere Informationen finden Sie unter Erstellen und Ändern von Rollen in Verwalten von vRealize Log Insight. Das URL-Format der Web-Benutzeroberfläche lautet „https://log_insight-host“, wobei „log_insight-host“ die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.

Prozedur

  1. Erweitern Sie das Hauptmenü und klicken Sie auf Protokolle durchsuchen.
  2. Klicken Sie auf Filter hinzufügen.
  3. Wählen Sie in der Filterzeile unter dem Suchtextfeld im ersten Dropdown-Menü ein beliebiges definiertes Feld innerhalb von vRealize Log Insight aus.
    Beispiel: hostname, text, _index usw. Bei Auswahl des Felds _index können Sie Protokolle aus einer vorhandenen Indexpartition abfragen, in der auf Basis des Partitionsfilters eine bestimmte Teilmenge von Ereignissen aufgelistet wird und die schnelle Ergebnisse liefert.
    Die Liste enthält alle definierten Felder, die statisch verfügbar sind, Inhaltspaketen und in benutzerdefiniertem Inhalt. Mit Ausnahme der Felder text und _index werden alle Felder nach Name sortiert. Da Text ein Sonderfeld ist, das auf den Text der Meldung verweist, wird Text oben in der Liste angezeigt und ist standardmäßig ausgewählt. Da _index auch zu den Sonderfeldern gehört, die auf Indexpartitionen verweisen, wird _index nach dem Feld text in der Liste angezeigt.
    Hinweis: Numerische Felder enthalten zusätzliche Operatoren, die in Zeichenfolgenfeldern nicht vorkommen: =, >, <, >=, <=. Diese Operatoren führen numerische Vergleiche aus. Durch ihre Verwendung können andere Ergebnisse als bei der Verwendung von Zeichenfolgenoperatoren erzielt werden. Beispiel: Der Filter response_time = 02 ergibt als Treffer ein Ereignis, das ein Feld response_time mit einem Wert von 2 enthält. Der Filter response_time enthält 02 ergibt nicht denselben Treffer.
  4. Wählen Sie in der Filterzeile unter dem Suchtextfeld mit dem zweiten Dropdown-Menü den Vorgang aus, der auf das im ersten Dropdown-Menü gewählte Feld angewandt werden soll.
    Beispiel:
    • Wählen Sie is oder is not aus. Diese Filter stimmen mit dem vollständigen Namen überein. Die Verwendung von is für das Feld _index entspricht allen in der angegebenen Indexpartition gespeicherten Ereignissen. Die Verwendung von is not für das Feld _index entspricht allen Ereignissen, die nicht in der angegebenen Indexpartition gespeichert sind.
    • Wählen Sie contains aus. Der Filter contains entspricht vollständigen Token: Wenn Sie z. B. den Suchbegriff „err“ eingeben, werden keine Übereinstimmungen mit „error“ ausgegeben. Die Verwendung von contains für das Feld _index entspricht globalen Mustern in allen vorhandenen Indexpartitionen.
  5. Geben Sie im Textfeld rechts neben dem Dropdown-Menü für den Filter den Wert ein, den Sie als Filter verwenden möchten.
    Sie können mehrere Werte durch Kommata getrennt auflisten. Der Operator zwischen diesen Werten ist ODER.
    Hinweis: Das Textfeld ist nicht verfügbar, wenn Sie im zweiten Dropdown-Menü den Operator ist vorhanden auswählen.
  6. (Optional) Klicken Sie auf Filter hinzufügen, um weitere Filter hinzuzufügen.
    Hinweis: Mithilfe des Felds _index können Sie nur einen Filter hinzufügen. Nachdem Sie jedoch ein Feld mit dem Feld _index hinzugefügt haben, können Sie weitere Filter mithilfe anderer Felder hinzufügen.
    Oberhalb der Filterzeilen wird eine Umschaltfläche angezeigt.
  7. (Optional) Wählen Sie für mehrere Filterzeilen den Operator zwischen den Filtern aus.
    Option Beschreibung
    alle Auswählen, um den UND-Operator zwischen Filterzeilen anzuwenden
    alle Auswählen, um den ODER-Operator zwischen Filterzeilen anzuwenden
    Standardmäßig ist alle gewählt.
    Hinweis: Das Feld _index wird als ergänzendes Feld betrachtet. Wenn Sie dieses Feld in einen Filter aufnehmen, wird der Filter unter Verwendung des Operators AND mit Filtern kombiniert, die andere Felder enthalten. Sie können jedoch den Operator OR auswählen, um Filter mit anderen Feldern (nicht mit Feldern vom Typ _index) zu kombinieren.
  8. Klicken Sie auf die Schaltfläche Suchen.

Beispiel: Suchen einer Gruppe von Hosts, deren Namen eine gemeinsame Zeichenfolge enthalten

Nehmen Sie an, Sie haben mehrere Hosts, darunter einen mit dem Namen w1-stvc-205-prod3 und einen anderen mit dem Namen w1-stvc-206-prod5.

Um alle Protokolle für beide Hosts zu finden, erstellen Sie die folgende Abfrage:

  1. Lassen Sie das Suchtextfeld frei.
  2. Definieren Sie den Filter.
    1. Wählen Sie Hostname aus dem Dropdown-Menü „Feld“.
    2. Wählen Sie beginnt mit aus dem Dropdown-Menü „Operator“.
    3. Geben Sie w1-stvc in das Wert-Textfeld ein.

    Stattdessen können Sie auch den Operator enthält verwenden, aber dann müssen Sie im Suchwert einen Glob verwenden. Bei diesem Beispiel müssen Sie w1-stvc-* in das Wert-Textfeld eingeben.

  3. Klicken Sie auf die Schaltfläche Suchen.

Nächste Maßnahme

Sie können die aktuelle Abfrage speichern, um sie später zu laden.