欄位提供了一種極佳的方法,可將結構新增至非結構化事件並允許操作資料的文字和視覺表示。
欄位是內容套件中最重要的項目之一,因為可透過包括彙總和篩選器在內的不同方式使用它們。彙總允許您將函數和群組套用至欄位。篩選器允許您在欄位上執行作業。
您必須擷取可能適用於查詢或彙總的記錄訊息的任意部分。欄位是一種規則運算式查詢,對複雜模式比對非常有用,因此,您無需瞭解、記住和掌握複雜的規則運算式。
欄位內容值 | 定義 |
---|---|
值之前的 regex | 包含儘可能多的關鍵字。如果此欄位空白或僅包含特殊字元,則值之後的 regex 必須包含關鍵字。 |
值之後的 regex | 包含儘可能多的關鍵字。如果此欄位空白或僅包含特殊字元,則值之前的 regex 必須包含關鍵字。 |
名稱 | 僅使用英數字元。確保所有字元都為小寫,並使用底線而非空格,因為這樣會使欄位更易於檢視。請記住,內容套件欄位和使用者欄位的名稱可以相同,但內容套件欄位在欄位名稱右側有以括弧括起的命名空間。為內容套件欄位加上縮寫前置詞 (如 vmw_),以避免產生混淆。 |
關鍵字搜尋詞彙 | 一或多個由空格隔開的關鍵字,這些關鍵字會出現在包含欄位的事件內。 |
篩選器 | 靜態欄位、運算子和可能的值,這些項目會出現在包含欄位的事件內。 篩選器常與 VMware Aria Operations for Logs 代理程式和標記搭配用於未包含關鍵字的事件。 |
資訊 ("i" 按鈕) | 用來提供關於欄位的資訊,包括其代表的意義、可能傳回的值,並可能包括將值解讀為人類可理解資訊的易用對應。 |
最佳做法
除了組成欄位的各種元件外,還適用一些最佳做法。
- 僅為規則運算式模式建立欄位。如果可使用關鍵字查詢來查詢欄位或欄位僅傳回單一值,則使用關鍵字查詢,而非預先定義欄位。如果欄位僅傳回兩個值,則考慮建構個別查詢,而非擷取欄位。欄位可將結構新增至非結構化資料,並提供查詢事件之特定部分的方法。
- 僅為傳回事件總計一部分的規則運算式模式建立欄位。符合多數事件和/或傳回大量結果的欄位並非良好的欄位擷取候選。需要將規則運算式套用至大量事件,這會導致資源密集型作業。如果可能,新增其他關鍵字以減少傳回的結果數,並最佳化查詢。
- 如果欄位包含規則運算式語法內的關鍵字,則新增此類關鍵字做為沒有規則運算式語法時的篩選器。例如,如果欄位的值或內容包含規則運算式語法內的關鍵字 (如這個|那個),則將此關鍵字新增為文字篩選器,以最佳化查詢 (如文字包含這個、那個)。
- 建議在複雜規則運算式的前後內容中使用包含一或多個關鍵字的其他內容。
- 將其他內容新增到所有擷取的欄位,以最佳化查詢效能。