Les opérateurs utilisés dans les filtres de gestion des journaux et les opérateurs utilisés dans les filtres de l'analyse interactive n'ont pas de correspondance de 1 à 1 par nom. Toutefois, vous pouvez sélectionner des opérateurs qui produisent des résultats semblables pour les deux formats.

Cette différence est importante lorsque vous utilisez l'élément de menu Exécuter dans l'analyse interactive dans les onglets suivants sur la page Gestion de journaux :
  • Masquage de journaux
  • Filtrage de journaux
  • Transfert de journaux
  • Partitions d'index
Par exemple, si vous disposez d'un filtre de gestion de journaux de type correspond à *foo* et que vous sélectionnez l'élément de menu Exécuter dans l'analyse interactive, la requête Analyse interactive équivaut au filtre de gestion de journaux de type correspond à regexp ^.*foo.*$, qui peut ne pas correspondre à l'ensemble des mêmes événements de journaux.

Autre exemple : correspond à foo qui, lorsqu'il est exécuté sur l'analyse interactive, est traité comme contient foo. Étant donné que la fonction d'analyse interactive recherche également les requêtes par mots clés, le filtre de type contient foo est susceptible de faire correspondre davantage d'événements que le filtre de type correspond à foo.

Vous pouvez modifier les opérateurs utilisés par l'analyse interactive afin de gérer ces différences.

  • Remplacez l'opérateur contient par correspond à regex.
  • Remplacez les occurrences de * des filtres de gestion de journaux par .* et préfixez les termes de filtre avec .*. Par exemple, remplacez l'expression de filtre d'événements correspond à *foo* par correspond à regex .*foo.* pour l'analyse interactive.
  • Pour l'opérateur ne correspond pas provenant des filtres d'événements, vous pouvez utiliser l'opérateur correspond à regex avec une valeur d'anticipation regex. Par exemple, ne correspond pas à *foo* est équivalent à correspond à regex.*(?!foo).*