Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
filter
Gunakan filter
untuk mendapatkan peristiwa log yang cocok dengan satu atau beberapa kondisi.
Contoh: Filter peristiwa log menggunakan satu kondisi
Cuplikan kode menunjukkan contoh kueri yang mengembalikan semua peristiwa log di mana nilainya range
lebih besar dari 3000. Kueri membatasi hasil hingga 20 peristiwa log dan mengurutkan peristiwa log berdasarkan @timestamp
dan dalam urutan menurun.
fields @timestamp, @message | filter (range>3000) | sort @timestamp desc | limit 20
Contoh: Filter peristiwa log menggunakan lebih dari satu kondisi
Anda dapat menggunakan kata kunci and
dan or
menggabungkan lebih dari satu kondisi.
Cuplikan kode menunjukkan contoh kueri yang mengembalikan peristiwa log di mana nilai untuk lebih besar dari 3000 dan nilai untuk range
sama dengan accountId
123456789012. Kueri membatasi hasil hingga 20 peristiwa log dan mengurutkan peristiwa log berdasarkan @timestamp
dan dalam urutan menurun.
fields @timestamp, @message | filter (range>3000 and accountId=123456789012) | sort @timestamp desc | limit 20
Kecocokan dan ekspresi reguler dalam perintah filter
Perintah filter mendukung penggunaan ekspresi reguler. Anda dapat menggunakan operator perbandingan berikut (=
,,!=
,<
, <=
>
,>=
) dan operator Boolean (and
,or
, dannot
).
Anda dapat menggunakan kata kunci in
untuk menguji keanggotaan set dan memeriksa elemen dalam array. Untuk memeriksa elemen dalam array, letakkan array setelahnyain
. Anda dapat menggunakan operator Boolean not
denganin
. Anda dapat membuat kueri yang digunakan in
untuk mengembalikan peristiwa log di mana bidang cocok dengan string. Bidang harus berupa string lengkap. Misalnya, cuplikan kode berikut menunjukkan kueri yang digunakan in
untuk mengembalikan peristiwa log di mana bidang logGroup
adalah string lengkap. example_group
fields @timestamp, @message | filter logGroup in ["example_group"]
Anda dapat menggunakan frase kata kunci like
dan not like
untuk mencocokkan substring. Anda dapat menggunakan operator ekspresi reguler =~
untuk mencocokkan substring. Untuk mencocokkan substring dengan like
dannot like
, lampirkan substring yang ingin Anda cocokkan dalam tanda kutip tunggal atau ganda. Anda dapat menggunakan pola ekspresi reguler dengan like
dannot like
. Untuk mencocokkan substring dengan operator ekspresi reguler, lampirkan substring yang ingin Anda cocokkan dalam garis miring maju. Contoh berikut berisi cuplikan kode yang menunjukkan bagaimana Anda dapat mencocokkan substring menggunakan perintah. filter
Contoh: Match substring
Contoh berikut mengembalikan peristiwa log yang f1
berisi kata Pengecualian. Ketiga contoh tersebut peka terhadap huruf besar dan kecil.
Contoh pertama cocok dengan substring denganlike
.
fields f1, f2, f3 | filter f1 like "Exception"
Contoh kedua cocok dengan substring dengan like
dan pola ekspresi reguler.
fields f1, f2, f3 | filter f1 like /Exception/
Contoh ketiga cocok dengan substring dengan ekspresi reguler.
fields f1, f2, f3 | filter f1 =~ /Exception/
Contoh: Cocokkan substring dengan wildcard
Anda dapat menggunakan simbol periode (.
) sebagai wildcard dalam ekspresi reguler untuk mencocokkan substring. Dalam contoh berikut, query mengembalikan kecocokan di mana nilai untuk f1
dimulai dengan stringServiceLog
.
fields f1, f2, f3 | filter f1 like /ServiceLog./
Anda dapat menempatkan simbol tanda bintang setelah simbol periode (.*
) untuk membuat kuantifier serakah yang mengembalikan kecocokan sebanyak mungkin. Misalnya, query berikut mengembalikan kecocokan di mana nilai untuk f1
tidak hanya dimulai dengan stringServiceLog
, tetapi juga termasuk stringServiceLog
.
fields f1, f2, f3 | filter f1 like /ServiceLog.*/
Kemungkinan kecocokan dapat diformat seperti berikut:
-
ServiceLogSampleApiLogGroup
-
SampleApiLogGroupServiceLog
Contoh: Kecualikan substring dari korek api
Contoh berikut menunjukkan query yang mengembalikan peristiwa log di mana f1
tidak mengandung kata Exception. Contohnya adalah case senstive.
fields f1, f2, f3 | filter f1 not like "Exception"
Contoh: Cocokkan substring dengan pola case-insensitive
Anda dapat mencocokkan substring yang tidak peka huruf besar/kecil dengan ekspresi like
reguler. Tempatkan parameter berikut (? i) sebelum substring yang ingin Anda cocokkan. Contoh berikut menunjukkan query yang mengembalikan peristiwa log yang f1
berisi kata Pengecualian atau pengecualian.
fields f1, f2, f3 | filter f1 like /(?i)Exception/