インタラクティブ分析でのログ管理フィルタの使用

ログ管理フィルタで使用される演算子とインタラクティブ分析のフィルタで使用される演算子の名前には 1 対 1 の対応関係がありません。ただし、どちらの形式でも同様の結果を生成する演算子を選択することができます。

この違いは、 [ログ管理] ページの次のタブから [インタラクティブ分析での実行] メニュー項目を使用する場合に重要です。

[ログのマスキング]
[ログのフィルタリング]
[ログの転送]
[インデックスパーティション]

たとえば、 [matches] *foo* のログ管理フィルタがあり、 [インタラクティブ分析での実行] メニュー項目を選択した場合、インタラクティブ分析のクエリはこのログ管理フィルタが、すべての同一ログイベントと一致しない可能性がある [match regexp] ^.*foo.* $ と同一であるとみなします。

もう 1 つの例は [matches] foo で、これはインタラクティブ分析で実行するときに [contains] foo として扱われます。インタラクティブ分析機能はキーワードクエリも検索するので、[contains] foo は、[matches] foo と比べてより多くのイベントと一致する可能性があります。

これらの違いに対処するためにインタラクティブ分析で使用される演算子を変更することができます。

[contains] 演算子を [matches regex] に変更します。
ログ管理フィルタの * を [.*] に変更し、フィルタする文字の先頭に [.*] を追加します。たとえば、イベントフィルタ式 [matches] *foo* をインタラクティブ分析用に [matches regex] .*foo.* に変更します。
イベントフィルタの [does not match] 演算子の場合、正規表現の先読み値を持つ [matches regex] 演算子を使用できます。たとえば、[does not match] *foo* は [matches regex] .* (?foo). * と同等です。