Les champs constituent une méthode puissante pour ajouter une structure à des événements non structurés et permettent la manipulation de représentations textuelles et visuelles des données.
Les champs constituent l'un des éléments les plus importants d'un pack de contenu, car ils peuvent être utilisés de différentes manières, notamment dans des agrégations et des filtres. Les agrégations vous permettent d'appliquer des fonctions et des regroupements à des champs. Les filtres permettent d'effectuer des opérations sur des champs.
Vous devez extraire une partie d'un message de journal qui peut être applicable à une requête ou une agrégation. Les champs sont un type de requête à expression régulière et sont utiles pour la mise en correspondance de modèles complexes, ils vous permettent d'éviter de devoir connaître, mémoriser ou apprendre des expressions régulières compliquées.
| Valeur contextuelle du champ | Définition |
|---|---|
| Expression rationnelle avant la valeur | Incluez autant de mots clés que possible. Si ce champ est vide ou ne contient que des caractères spéciaux, l'expression rationnelle après la valeur doit inclure des mots clés. |
| Expression rationnelle après la valeur | Incluez autant de mots clés que possible. Si ce champ est vide ou ne contient que des caractères spéciaux, l'expression rationnelle avant la valeur doit inclure des mots clés. |
| Nom | Utilisez uniquement des caractères alphanumériques. Vérifiez que tous les caractères sont minuscules et utilisez des tirets de soulignement plutôt que des espaces, car cela améliore la visibilité des champs. Gardez à l'esprit que les noms des champs de pack de contenu et des champs d'utilisateur peuvent être les mêmes, bien qu'un espace de noms sera indiqué entre parenthèses à droite des noms de champs de pack de contenu. Utilisez un préfixe à abréviation devant les champs de pack de contenu, par exemple vmw_, pour éviter toute confusion. |
| Termes de la recherche par mot-clé | Un ou plusieurs mots-clés, séparés par des espaces, qui s'affichent à l'intérieur des événements contenant le champ. |
| Filtre | Un champ statique, opérateur, et une valeur potentielle qui s'affichent à l'intérieur des événements contenant le champ. Il est courant d'utiliser ceci conjointement avec l'agent vRealize Log Insight et les balises des événements qui ne contiennent pas de mots-clés. |
| Informations (bouton « i ») | Utilisé pour fournir des informations sur le champ y compris sa signification, quelles valeurs potentielles pourraient être renvoyées et éventuellement un mappage convivial des valeurs avec les informations compréhensibles par l'être humain. |
Meilleures pratiques
Outre les divers composants qui constituent un champ, plusieurs recommandations s'appliquent.
- Créez des champs uniquement pour des modèles d'expression régulières. Si un champ peut faire l'objet de requêtes à mots clés, ou ne pourra renvoyer qu'une valeur unique, utilisez des requêtes à mots clés plutôt qu'un champ prédéfini Si un champ renverra uniquement deux valeurs, envisagez de construire des requêtes individuelles plutôt que d'extraire un champ. Les champs servent à ajouter de la structure à des données non structurées et à permettre d'effectuer une requête sur des parties spécifiques d'un événement.
- Créez uniquement des champs pour des modèles d'expression régulière qui renvoient une partie de l'ensemble des événements. Les champs qui correspondront à la plupart des événements et/ou renverront un très grand nombre de résultats ne conviennent pas à l'extraction de champ. L'expression régulière devra être appliquée à grand nombre d'événements, ce qui entraînera une opération gourmande en ressources. Si possible, ajoutez des mots clés pour réduire le nombre de résultats renvoyés et optimiser la requête.
- Si un champ contient des mots clés dans une syntaxe d'expression régulière, ajoutez de tels mots clés en tant que filtre sans syntaxe d'expression régulière. Par exemple, si la valeur ou le contexte d'un champ contient des mots clés dans une syntaxe d'expression régulière, par exemple ceci|cela, ajoutez les mots-clés sous forme de filtre textuel pour optimiser la requête comme dans texte contient ceci, cela.
- L'utilisation du contexte supplémentaire avec un ou plusieurs mots-clés est recommandée pour des expressions régulières complexes dans le contexte avant ou après.
- Ajoutez le contexte supplémentaire à tous les champs extraits afin d'optimiser la performance des requêtes.
