FilterIndex

Utilizzato filterIndex per restituire solo dati indicizzati, forzando una query a scansionare solo i gruppi di log indicizzati su un campo specificato nella query. Per questi gruppi di log indicizzati in questo campo, ottimizza ulteriormente la query ignorando i gruppi di log che non contengono eventi di registro contenenti il campo specificato nella query per il campo indicizzato. Riduce ulteriormente il volume scansionato tentando di analizzare solo gli eventi di registro di questi gruppi di log che corrispondono al valore specificato nella query per questo indice di campo. Per ulteriori informazioni sugli indici di campo e su come crearli, vedere. Crea indici di campo per migliorare le prestazioni delle query e ridurre il volume di scansione

L'utilizzo filterIndex con campi indicizzati può aiutarti a interrogare gruppi di log che includono petabyte di dati di registro in modo efficiente, limitando lo spazio di ricerca effettivo ai gruppi di log e agli eventi di registro con indici di campo.

Ad esempio, supponete di aver creato un indice di campo per alcuni gruppi di log del vostro IPaddress account. È quindi possibile creare la seguente query e scegliere di interrogare tutti i gruppi di log dell'account per trovare gli eventi di registro che includono il valore 198.51.100.0 nel IPaddress campo.


fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

Il filterIndex comando fa sì che questa query tenti di ignorare tutti i gruppi di log per i quali non sono indicizzati. IPaddress Inoltre, all'interno dei gruppi di log indicizzati, la query ignora gli eventi di registro che hanno un IPaddress campo ma non sono stati osservati 198.51.100.0 come valore per quel campo.

Utilizzate l'INoperatore per espandere i risultati a uno qualsiasi dei valori multipli per i campi indicizzati. L'esempio seguente trova gli eventi di registro che includono il valore 198.51.100.0 o 198.51.100.1 nel campo. IPaddress


fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20

CloudWatch Logs fornisce indici di campo predefiniti per tutti i gruppi di log della classe Standard log. Gli indici di campo predefiniti sono automaticamente disponibili per i seguenti campi:

@logStream
@aws.region
@aws.account
@source.log
traceId

Gli indici di campo predefiniti si aggiungono a tutti gli indici di campo personalizzati definiti all'interno della politica. Gli indici di campo predefiniti non vengono conteggiati ai fini della quota dell'indice di campo.

FilterIndex rispetto al filtro

Per illustrare la differenza tra filterIndex efilter, considera le seguenti query di esempio. Si supponga di aver creato un indice di campo perIPaddress, per quattro dei gruppi di log, ma non per un quinto gruppo di log. L'utilizzo della seguente query filterIndex salterà la scansione del gruppo di log in cui il campo non è indicizzato. Per ogni gruppo di log indicizzato, tenta di analizzare solo gli eventi di registro che hanno il campo indicizzato e restituisce inoltre solo i risultati ottenuti dopo la creazione dell'indice del campo.


fields @timestamp, @message 
| filterIndex IPaddress = "198.51.100.0" 
| limit 20

Al contrario, se si utilizza filter invece di filterIndex eseguire una query degli stessi cinque gruppi di log, la query tenterà di analizzare non solo gli eventi di registro che contengono il valore nei gruppi di log indicizzati, ma analizzerà anche il quinto gruppo di log che non è indicizzato e analizzerà ogni evento di registro in quel quinto gruppo di log.


fields @timestamp, @message 
| filter IPaddress = "198.51.100.0" 
| limit 20

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

filter

SOURCE