建立訊息查詢的基本概念。

您可以使用搜尋列或輸入篩選器來輸入訊息查詢。

使用搜尋列可縮小 VMware Aria Operations for Logs 執行個體中事件的範圍。雖然您可以使用篩選器來取代搜尋列,但通常運用搜尋列會比運用對等的篩選器更易瞭解查詢。最佳做法是儘可能使用搜尋列,而不要使用對等的篩選器。

篩選器可讓您使用規則運算式、欄位、邏輯 OR 運算或是搜尋列和篩選器的查詢組合來建立查詢。

當您使用搜尋列和篩選器建立查詢時,適用下列最佳做法:

  • 確認查詢不限於特定環境。公用內容套件必須對任何環境通用,這樣一來就不需要依賴環境特定資訊。環境特定資訊的範例包括來源、主機名稱以及可能的功能 (如果功能使用 local*)。
  • 建構查詢時,儘可能使用關鍵字,當關鍵字不足時,請使用 Glob,而當 Glob 不足時,再使用規則運算式。關鍵字查詢是耗費資源最少的查詢類型。Glob 是規則運算式的簡化版,是次耗費資源最少的查詢類型。規則運算式是耗費資源最多的查詢類型。
  • 使用規則運算式或欄位時,儘可能提供多個關鍵字。如果規則運算式包含邏輯 OR,例如這個|那個,請勿包含關鍵字。VMware Aria Operations for Logs 最適合在規則運算式之前執行關鍵字查詢,以將規則運算式的額外負荷降至最低。