filterIndex

クエリで指定したフィールドでインデックスが付けられたロググループのみをスキャンするようにクエリに強制することで、インデックスが付けられたデータのみをfilterIndex返すには、 を使用します。このフィールドでインデックスが作成されたこれらのロググループでは、インデックスが作成されたフィールドのクエリで指定された フィールドを含むログイベントがないロググループをスキップすることで、クエリをさらに最適化します。このフィールドインデックスのクエリで指定された値と一致するロググループのログイベントのみをスキャンしようとすることで、スキャンされたボリュームをさらに削減します。フィールドインデックスとその作成方法の詳細については、「」を参照してくださいフィールドインデックスを作成してクエリのパフォーマンスを向上させ、スキャンボリュームを減らす。

インデックス付きフィールドfilterIndexで を使用すると、フィールドインデックスを持つロググループとログイベントに実際の検索スペースを制限することで、ペタバイトのログデータを含むロググループを効率的にクエリできます。

例えば、アカウントの一部のロググループIPaddressで のフィールドインデックスを作成したとします。その後、次のクエリを作成し、アカウント内のすべてのロググループをクエリして、 IPaddress フィールド198.51.100.0の値を含むログイベントを検索できます。

fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

filterIndex このコマンドにより、このクエリは のインデックスが作成されていないすべてのロググループをスキップしようとしますIPaddress。さらに、インデックスが作成されたロググループ内では、 IPaddressフィールドはあるが、そのフィールドの値198.51.100.0として観測されないログイベントは、クエリによってスキップされます。

IN 演算子を使用して、インデックス付きフィールドの複数の値のいずれかに結果を展開します。次の例では、 IPaddressフィールド198.51.100.1で 値198.51.100.0または のいずれかを含むログイベントを検索します。

fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20