필드는 구조화되지 않은 이벤트에 구조를 추가하고 데이터의 텍스트 및 시각적 표시 모두에 대한 조작을 허용하는 강력한 방법입니다.
필드는 집계 및 필터를 비롯하여 여러 가지 방법으로 사용할 수 있으므로 컨텐츠 팩에서 가장 중요한 항목 중 하나입니다. 집계를 사용하여 필드에 함수 및 그룹화를 적용할 수 있습니다. 필터를 사용하여 필드에 대해 연산을 수행할 수 있습니다.
쿼리 또는 집계에 적용할 수 있는 로그 메시지의 모든 부분을 추출해야 합니다. 필드는 정규식 쿼리 유형이며 복잡한 패턴 일치에 유용하므로 복잡한 정규식을 알거나 기억하거나 배울 필요가 없습니다.
필드 컨텍스트 값 | 정의 |
---|---|
값 앞의 Regex | 최대한 많은 키워드를 포함하십시오. 이 필드가 비어 있거나 특수 문자만 포함된 경우 값 뒤의 Regex에는 키워드가 포함되어야 합니다. |
값 뒤의 Regex | 최대한 많은 키워드를 포함하십시오. 이 필드가 비어 있거나 특수 문자만 포함된 경우 값 앞의 Regex에는 키워드가 포함되어야 합니다. |
이름 | 영숫자 문자만 사용하십시오. 모든 문자가 소문자이고 공백 대신 밑줄을 사용하는지 확인하십시오. 그러면 필드를 보기가 더 쉬워집니다. 컨텐츠 팩 필드에는 필드 이름 오른쪽의 괄호에 네임스페이스가 있을 것이지만 컨텐츠 팩 필드 및 사용자 필드는 동일할 수 있음에 주의하십시오. 예를 들어 vmw_과 같이 혼동을 피하기 위해 약어가 포함된 접두사 컨텐츠 팩 필드가 있습니다. |
키워드 검색어 | 필드를 포함하는 이벤트 내에 나타나는 하나 이상의 키워드로, 이는 공백으로 구분됩니다. |
필터 | 필드를 포함하는 이벤트 내에 나타나는 정적 필드, 연산자 및 잠재적 값입니다. 일반적으로 필터를 VMware Aria Operations for Logs 에이전트와 함께 사용하여 키워드를 포함하지 않는 이벤트에 태그를 지정합니다. |
정보("i" 버튼) | 필드에 대한 정보를 제공하는 데 사용됩니다. 여기에는 필드의 의미, 반환 가능한 잠재적 값이 제공되며 가능한 경우 값을 이해하기 쉬운 정보에 연결합니다. |
모범 사례
필드를 이루는 다양한 구성 요소뿐만 아니라 여러 모범 사례가 적용됩니다.
- 정규식 패턴에 대한 필드만 생성하십시오. 키워드 쿼리를 사용하여 필드를 쿼리할 수 있거나 필드가 단일 값만 반환하는 경우 사전 정의된 필드 대신 키워드 쿼리를 사용하십시오. 필드가 두 개의 값만 반환하는 경우 필드를 추출하는 대신 개별 쿼리를 구성하는 것을 고려하십시오. 필드는 구조화되지 않은 데이터에 구조를 추가하기 위한 것일 뿐만 아니라 이벤트의 특정 부분에 대해 쿼리하는 방법을 제공하기도 합니다.
- 전체 이벤트의 일부를 반환하는 정규식 패턴에 대한 필드만 생성하십시오. 대부분의 이벤트와 일치하는 필드 및/또는 매우 많은 결과를 반환하는 필드는 필드 추출에 좋은 후보가 아닙니다. 정규식은 리소스 집약적인 연산이 되게 하는 많은 양의 이벤트에 적용되어야 합니다. 가능한 경우 키워드를 더 추가하여 반환되는 결과 수를 줄이고 쿼리를 최적화하십시오.
- 필드에 정규식 구문 내 키워드가 포함된 경우, 정규식 구문 없이 해당 키워드를 필터로 추가하십시오. 예를 들어, 필드의 값이나 컨텍스트에 this|that과 같은 정규식 구문 내 키워드가 포함된 경우, 해당 키워드를 텍스트 필터로 추가하여 text contains this, that과 같은 쿼리를 최적화하십시오.
- 복잡한 정규식의 경우 컨텍스트 전/후로 하나 이상의 키워드와 함께 추가 컨텍스트를 사용하는 것이 좋습니다.
- 쿼리 성능을 최적화하려면 모든 추출된 필드에 컨텍스트를 더 추가하십시오.