用於記錄管理篩選器的運算子與用於互動式分析篩選器中的運算子並未按名稱一對一對應。不過,您可以針對兩種格式選取產生類似結果的運算子。

當您從 記錄管理頁面中的下列索引標籤使用 在互動式分析中執行功能表項目時,此差異非常重要:
  • 記錄遮罩
  • 記錄篩選
  • 記錄轉送
  • 索引磁碟分割
例如,如果您的記錄管理篩選器為 符合 *foo*,並選取 在互動式分析中執行功能表項目,則互動式分析查詢會將該記錄管理篩選器視為等同於 符合 regexp ^.*foo.*$,這可能不會符合所有相同記錄事件。

另一個範例為符合 foo,這在互動式分析上執行時將視為包含 foo。由於互動式分析功能也會搜尋關鍵字查詢,因此包含 foo 可能會比符合 foo 符合更多的事件。

您可以變更互動式分析使用的運算子以解決這些差異。

  • 包含運算子變更為符合 regex
  • 將記錄管理篩選器中出現的 * 變更為 。*,並將篩選器詞彙加上前置詞 .*。例如,將變更事件篩選器運算式符合 *foo* 變更為符合 regex .*foo.*,以用於互動式分析。
  • 針對事件篩選器中的不符合運算子,您可以將符合 regex 運算子與 regex look ahead 值搭配使用。例如,不符合 *foo* 相當於符合 regex。*(?!foo).*