您可以使用現有欄位清單來搜尋具有特定欄位值的記錄事件。

重要: vRealize Log Insight 針對完整、英數、連字號及底線字元建立索引。

必要條件

確認您登入 vRealize Log Insight Web 使用者介面所用的使用者身分,與「使用者」角色或有相關權限的角色相關聯。如需相關資訊,請參閱《管理 vRealize Log Insight中的〈建立和修改角色〉。Web 使用者介面的 URL 格式為 https://log_insight-host,其中 log_insight-hostvRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。

程序

  1. 展開主功能表,並按一下探索記錄
  2. 按一下新增篩選器
  3. 在搜尋文字方塊下方的篩選器列中,使用第一個下拉式功能表來選取在 vRealize Log Insight 內定義的任何欄位。
    例如, hostnametext_index 等。如果選取 _index 欄位,則可以從現有索引磁碟分割中查詢記錄,此時會根據磁碟分割篩選器列出一部分特定事件,並呈現快速結果。
    清單包含在內容套件和自訂內容中靜態可用的所有已定義欄位。這些欄位依名稱排序,但 text_index 欄位除外。因為 文字是參照訊息文字的特殊欄位, 文字顯示在清單頂部,預設為選取狀態。由於 _index 也是一個會參照索引磁碟分割的特殊欄位, _index 會顯示在清單中的 text 欄位後面。
    備註: 數字欄位包含字串欄位中沒有的其他運算子: =><>=<=。這些運算子可執行數字比較,並且使用它們與使用字串運算子得到的結果會有所不同。例如,篩選器 response_time = 02 會將包含 response_time 欄位的事件與值 2 相比對。篩選器 response_time 包含 02 沒有相同的相符項。
  4. 在搜尋文字方塊下方的篩選器列中,使用第二個下拉式功能表來選取要套用到在第一個下拉式功能表中選取之欄位的運算。
    例如:
    • 選取 isis not。這些篩選器會比對全名。如果對 _index 欄位使用 is,則會比對儲存在指定索引磁碟分割中的所有事件。如果對 _index 欄位使用 is not,則會比對未儲存在指定索引磁碟分割的所有事件。
    • 選取 containscontains 篩選器會比對完整 Token:搜尋「err」時不會找到「error」做為相符項。如果對 _index 欄位使用 contains,則會比對所有現有索引磁碟分割中的全域模式。
  5. 在篩選器下拉式功能表右側的文字方塊中,輸入要用作篩選器的值。
    您可以列出多個值,並以逗點分隔。這些值之間的運算子為 OR。
    備註: 如果在第二個下拉式功能表中選取 存在運算子,則文字方塊無法使用。
  6. (選擇性) 若要新增更多篩選器,請按一下新增篩選器
    備註: 您只能新增使用 _index 欄位的篩選器。但是,在新增含 _index 欄位的篩選器後,您還可以新增多個使用其他欄位的篩選器。
    切換按鈕顯示在篩選器列上方。
  7. (選擇性) 對於多個篩選器列,請選取篩選器之間的運算子。
    選項 說明
    全部 選取以在篩選器列之間套用 AND 運算
    任何 選取以在篩選器列之間套用 OR 運算
    預設為選取 全部
    備註: _index 欄位可視為補充欄位。如果某個篩選器中包含此欄位,則將使用 AND 運算子,將該篩選器與包含其他欄位的篩選器合併在一起。但是,您可以選取 OR 運算子,以便將不包含 _index 欄位的篩選器合併在一起。
  8. 按一下搜尋按鈕。

範例: 搜尋其名稱包含常用字串的主機群組

假定您有多部主機,其中一部主機的名稱為 w1-stvc-205-prod3,另有一部主機名為 w1-stvc-206-prod5。

若要找到這兩部主機的所有記錄,請建立下列查詢。

  1. 將搜尋文字方塊保留為空白。
  2. 定義篩選器。
    1. 從欄位下拉式功能表中選取主機名稱
    2. 從運算子下拉式功能表選取開頭為
    3. 在值文字方塊中輸入 w1-stvc

    或者,您可以使用包含運算子,但是接下來您必須在搜尋值中使用 glob。在此範例中,您必須在值文字方塊中輸入 w1-stvc-*

  3. 按一下搜尋按鈕。

下一步

您可以儲存目前查詢以在稍後進行載入。