filterIndex

Gunakan filterIndex untuk mengembalikan data yang diindeks saja, dengan memaksa kueri untuk memindai hanya grup log yang diindeks pada bidang yang Anda tentukan dalam kueri. Untuk grup log ini yang diindeks di bidang ini, selanjutnya mengoptimalkan kueri dengan melewatkan grup log yang tidak memiliki peristiwa log yang berisi bidang yang ditentukan dalam kueri untuk bidang yang diindeks. Selanjutnya mengurangi volume yang dipindai dengan mencoba memindai hanya peristiwa log dari grup log ini yang cocok dengan nilai yang ditentukan dalam kueri untuk indeks bidang ini. Untuk informasi selengkapnya tentang indeks bidang dan cara membuatnya, lihatBuat indeks bidang untuk meningkatkan kinerja kueri dan mengurangi volume pemindaian.

Menggunakan filterIndex dengan bidang yang diindeks dapat membantu Anda menanyakan grup log yang menyertakan petabyte data log secara efisien dengan membatasi ruang pencarian aktual untuk grup log dan peristiwa log yang memiliki indeks bidang.

Misalnya, Anda telah membuat indeks bidang untuk IPaddress beberapa grup log di akun Anda. Anda kemudian dapat membuat kueri berikut dan memilih untuk menanyakan semua grup log di akun untuk menemukan peristiwa log yang menyertakan nilai 198.51.100.0 di IPaddress bidang.

fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

filterIndexPerintah menyebabkan kueri ini mencoba melewati semua grup log yang tidak diindeks. IPaddress Selain itu, dalam grup log yang diindeks, kueri melewatkan peristiwa log yang memiliki IPaddress bidang tetapi tidak diamati 198.51.100.0 sebagai nilai untuk bidang tersebut.

Gunakan IN operator untuk memperluas hasil ke salah satu dari beberapa nilai untuk bidang yang diindeks. Contoh berikut menemukan log peristiwa yang menyertakan nilai 198.51.100.0 atau 198.51.100.1 di IPaddress bidang.

fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20