Los campos son una forma eficaz de añadir estructura a eventos no estructurados y permitir la manipulación de la representación textual y visual de los datos.
Los campos son uno de los elementos más importantes en un paquete de contenido, dado que pueden usarse de formas diferentes, incluidas agregaciones y filtros. Las agregaciones le permiten aplicar funciones y agrupaciones a campos. Los filtros le permiten realizar operaciones a través de campos.
Debe extraer cualquier parte de un mensaje de registro que pueda aplicarse a una consulta o agregación. Los campos son un tipo de consulta de expresión regular y son útiles para la coincidencia de patrones complejos de modo que no sea necesario conocer, recordar o conocer expresiones regulares complicadas.
Valor de contexto de campo | Definición |
---|---|
Regex antes del valor | Incluya tantas palabras clave como sea posible. Si este campo está vacío o solo incluye caracteres especiales, la Regex después del valor debe incluir palabras clave. |
Regex después del valor | Incluya tantas palabras clave como sea posible. Si este campo está vacío o solo incluye caracteres especiales, la Regex antes del valor debe incluir palabras clave. |
Nombre | Use solo caracteres alfanuméricos. Asegúrese de que todos los caracteres estén en minúscula y use guiones bajos en lugar de espacios, dado que esto facilita la visualización de los campos. Tenga en cuenta que los nombres de campos de paquetes de contenido y campos de usuario pueden ser los mismos, si bien los campos de paquetes de contenido tendrán un espacio de nombres entre paréntesis a la derecha del nombre del campo. Incluya un prefijo en los campos de paquetes de contenido con una abreviatura como, por ejemplo, vmw_, para evitar confusión. |
Términos de búsqueda de palabras clave | Una o más palabras clave, separadas por espacio, que aparecen dentro de eventos que incluyen el campo. |
Filter (Filtrar) | Un campo estático, operador y un valor posible que aparece dentro de eventos que contienen el campo. Es común usar esto junto con el agente de vRealize Log Insight y etiquetas para eventos que no contienen palabras clave. |
Información (botón "i") | Se usa para proporcionar información sobre el campo, incluido su significado, los valores posibles que pueden devolverse y posiblemente una asignación fácil de usar de los valores para información comprensible para las personas. |
Prácticas recomendadas
Además de los distintos componentes que conforman un campo, se aplican varias prácticas recomendadas.
- Solo cree campos para patrones de expresiones regulares. Si se puede consultar un campo usando consultas de palabras clave, o solo devolverá alguna vez un valor único, use consultas de palabras clave en lugar de un campo predefinido. Si un campo solo devolverá dos valores, considere la posibilidad de construir consultas individuales en lugar de extraer un campo. Los campos tienen como objetivo añadir estructura a datos no estructurados además de proporcionar una forma de consultar partes específicas de un evento.
- Solo cree campos para patrones de expresión regular que devuelvan una fracción del total de eventos. Los campos que coincidirán con la mayoría de los eventos o devolverán una gran cantidad de resultados no son buenas opciones para la extracción de campos. La expresión regular deberá aplicarse a una gran cantidad de eventos, lo que dará lugar a una operación que requiera el uso de muchos recursos. Si es posible, añada palabras clave adicionales para reducir la cantidad de resultados devueltos y optimizar la consulta.
- Si un campo incluye palabras clave dentro de la sintaxis de la expresión regular, añada estas palabras clave como filtro sin sintaxis de la expresión regular. Por ejemplo, si el valor o el contexto de un campo incluye palabras clave dentro de la sintaxis de una expresión regular, tal como this|that, añada las palabras clave como un filtro de texto para optimizar la consulta como text contains this, that.
- El uso de contexto adicional con una o más palabras clave es preferible al uso de expresiones regulares complejas en los valores de contexto previo o posterior.
- Añada contexto adicional a todos los campos extraídos a fin de optimizar el rendimiento de la consulta.