filterIndex

filterIndexÀ utiliser pour renvoyer uniquement des données indexées, en forçant une requête à analyser uniquement les groupes de journaux indexés sur un champ que vous spécifiez dans la requête. Pour les groupes de journaux indexés sur ce champ, cela optimise davantage la requête en ignorant les groupes de journaux qui ne contiennent aucun événement de journal contenant le champ spécifié dans la requête pour le champ indexé. Il réduit encore le volume numérisé en essayant de scanner uniquement les événements de journal de ces groupes de journaux qui correspondent à la valeur spécifiée dans la requête pour cet index de champ. Pour plus d'informations sur les index de champs et sur la façon de les créer, consultezCréez des index de champs pour améliorer les performances des requêtes et réduire le volume de numérisation.

L'utilisation de champs filterIndex indexés peut vous aider à interroger efficacement les groupes de journaux contenant des pétaoctets de données de journal en limitant l'espace de recherche réel aux groupes de journaux et aux événements de journal contenant des index de champs.

Supposons, par exemple, que vous ayez créé un index IPaddress de champs pour certains groupes de journaux de votre compte. Vous pouvez ensuite créer la requête suivante et choisir d'interroger tous les groupes de journaux du compte pour trouver les événements de journal qui incluent la valeur 198.51.100.0 dans le IPaddress champ.


fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

La filterIndex commande fait en sorte que cette requête tente d'ignorer tous les groupes de journaux qui ne sont pas indexésIPaddress. En outre, au sein des groupes de journaux indexés, la requête ignore les événements de journal dont la valeur de ce IPaddress champ n'a pas été observée198.51.100.0.

Utilisez l'INopérateur pour étendre les résultats à l'une des multiples valeurs des champs indexés. L'exemple suivant trouve les événements de journal qui incluent la valeur 198.51.100.0 ou 198.51.100.1 le IPaddress champ.


fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

filtre

filterIndex par rapport au filtre