[インタラクティブ分析] タブでログ イベントを検索し、フィルタリングすることができます。
指定したキーワードを含むイベントのみを検索するには、検索テキスト ボックスに完全なキーワード、グロブ、またはフレーズを入力し、[検索] をクリックします。
時間範囲は、Web ユーザー インターフェイスの [ダッシュボード] ページまたは [インタラクティブ分析] ページのいずれかで指定できます。時間範囲は、始まりと終わりも含めてフィルタ処理されます。
特定のフィールドの特定の値に一致するログ イベントを検索できます。メイン検索フィールドに引用符で囲んだテキストを入力すると、完全に一致するフレーズが返されます。メイン検索フィールドにスペースを入力すると、論理 AND 演算子になります。検索では、フル トークンのみが使用されます。たとえば、「err」を検索しても、「error」は一致として検出されません。
注: 取り込まれるイベントのフィールド名の先頭は文字またはアンダースコアにする必要があり、文字、数字、またはアンダースコアのみを使用する必要があります。
ログ イベントのリストの上にあるドロップダウン メニューやテキスト ボックスを使用すると、フィールドの検索条件またはフィルタを入力できます。
単一行のフィルタ内では、カンマで区切った値を使用して OR フィルタを指定できます。たとえば、
[hostname]
[contains] を選択して、
127.0.0.1, 127.0.0.2 と入力します。検索により、ホスト名が 127.0.0.1 または 127.0.0.2 のイベントが返されます。
注:
[text contains] フィルタは、カンマ区切りの各値を完全なキーワードとして処理します。
内部クエリ言語の構文名(たとえば from または in)を使用するフィールドを持つクエリは処理できないため、使用しないでください。
フィールドごとにフィルタ行を作成することで、複数のフィールド フィルタを結合できます。複数行フィルタに適用する演算子は切り替えることができます。
- AND 演算子を適用するには [all] を選択します。
- OR 演算子を適用するには [any] を選択します。
注: 切り替える値に関係なく、単一フィルタ行内にあるカンマ区切りの値の演算子は常に OR になります。
検索語に glob を使用できます。たとえば、vm* や vmw?re にすることができます。
- 0 個以上の文字には * を使用します。
- 1 個の文字には ? を使用します。
注: glob を検索語の最初の文字として使用することはできません。たとえば、フィルタリング クエリで 192.168.0* と指定できても、*.168.0.0 とすることはできません。