FilterIndex

Utilizzato filterIndex per restituire solo dati indicizzati, forzando una query a scansionare solo i gruppi di log indicizzati su un campo specificato nella query. Per questi gruppi di log indicizzati in questo campo, ottimizza ulteriormente la query ignorando i gruppi di log che non contengono eventi di registro contenenti il campo specificato nella query per il campo indicizzato. Riduce ulteriormente il volume scansionato tentando di analizzare solo gli eventi di registro di questi gruppi di log che corrispondono al valore specificato nella query per questo indice di campo. Per ulteriori informazioni sugli indici di campo e su come crearli, vedere. Crea indici di campo per migliorare le prestazioni delle query e ridurre il volume di scansione

L'utilizzo filterIndex con campi indicizzati può aiutarti a interrogare gruppi di log che includono petabyte di dati di registro in modo efficiente, limitando lo spazio di ricerca effettivo ai gruppi di log e agli eventi di registro con indici di campo.

Ad esempio, supponete di aver creato un indice di campo per alcuni gruppi di log del vostro IPaddress account. È quindi possibile creare la seguente query e scegliere di interrogare tutti i gruppi di log dell'account per trovare gli eventi di registro che includono il valore 198.51.100.0 nel IPaddress campo.


fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

Il filterIndex comando fa sì che questa query tenti di ignorare tutti i gruppi di log per i quali non sono indicizzati. IPaddress Inoltre, all'interno dei gruppi di log indicizzati, la query ignora gli eventi di registro che hanno un IPaddress campo ma non sono stati osservati 198.51.100.0 come valore per quel campo.

Utilizzate l'INoperatore per espandere i risultati a uno qualsiasi dei valori multipli per i campi indicizzati. L'esempio seguente trova gli eventi di registro che includono il valore 198.51.100.0 o 198.51.100.1 nel campo. IPaddress


fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

filter

FilterIndex rispetto al filtro