[インタラクティブ分析] タブでログ イベントを検索し、フィルタリングすることができます。

指定したキーワードを含むイベントのみを検索するには、検索テキスト ボックスに完全なキーワード、グロブ、またはフレーズを入力し、[検索] をクリックします。

時間範囲は、Web ユーザー インターフェイスの [ダッシュボード] ページまたは [インタラクティブ分析] ページのいずれかで指定できます。時間範囲は、始まりと終わりも含めてフィルタ処理されます。

特定のフィールドの特定の値に一致するログ イベントを検索できます。メイン検索フィールドに引用符で囲んだテキストを入力すると、完全に一致するフレーズが返されます。メイン検索フィールドにスペースを入力すると、論理 AND 演算子になります。検索では、フル トークンのみが使用されます。たとえば、「err」を検索しても、「error」は一致として検出されません。

注: 取り込まれるイベントのフィールド名の先頭は文字またはアンダースコアにする必要があり、文字、数字、またはアンダースコアのみを使用する必要があります。

ログ イベントのリストの上にあるドロップダウン メニューやテキスト ボックスを使用すると、フィールドの検索条件またはフィルタを入力できます。

単一行のフィルタ内では、カンマで区切った値を使用して OR フィルタを指定できます。たとえば、 [hostname] [contains] を選択して、 127.0.0.1, 127.0.0.2 と入力します。検索により、ホスト名が 127.0.0.1 または 127.0.0.2 のイベントが返されます。
注:

[text contains] フィルタは、カンマ区切りの各値を完全なキーワードとして処理します。

内部クエリ言語の構文名(たとえば from または in)を使用するフィールドを持つクエリは処理できないため、使用しないでください。

フィールドごとにフィルタ行を作成することで、複数のフィールド フィルタを結合できます。複数行フィルタに適用する演算子は切り替えることができます。

  • AND 演算子を適用するには [all] を選択します。
  • OR 演算子を適用するには [any] を選択します。
注: 切り替える値に関係なく、単一フィルタ行内にあるカンマ区切りの値の演算子は常に OR になります。

検索語に glob を使用できます。たとえば、vm*vmw?re にすることができます。

  • 0 個以上の文字には * を使用します。
  • 1 個の文字には ? を使用します。
注: glob を検索語の最初の文字として使用することはできません。たとえば、フィルタリング クエリで 192.168.0* と指定できても、*.168.0.0 とすることはできません。