filterIndex

쿼리에서 지정한 필드에 인덱싱된 로그 그룹만 스캔하도록 쿼리를 강제하여 인덱싱된 데이터만 반환하는 filterIndex 데 사용합니다. 이 필드에 인덱싱된 이러한 로그 그룹의 경우 인덱싱된 필드의 쿼리에 지정된 필드가 포함된 로그 이벤트가 없는 로그 그룹을 건너뛰어 쿼리를 추가로 최적화합니다. 또한이 필드 인덱스에 대한 쿼리에 지정된 값과 일치하는 이러한 로그 그룹의 로그 이벤트만 스캔하려고 시도하여 스캔된 볼륨을 줄입니다. 필드 인덱스 및 인덱스 생성 방법에 대한 자세한 내용은 섹션을 참조하세요필드 인덱스를 생성하여 쿼리 성능을 개선하고 스캔 볼륨을 줄입니다..

인덱싱된 필드와 filterIndex 함께를 사용하면 실제 검색 공간을 필드 인덱스가 있는 로그 그룹 및 로그 이벤트로 제한하여 페타바이트의 로그 데이터가 포함된 로그 그룹을 효율적으로 쿼리할 수 있습니다.

예를 들어 계정의 일부 로그 그룹에서 IPaddress에 대한 필드 인덱스를 생성했다고 가정해 보겠습니다. 그런 다음 다음 쿼리를 생성하고 계정의 모든 로그 그룹을 쿼리하여 IPaddress 필드에 값이 포함된 로그 이벤트를 찾도록 선택할 수 198.51.100.0 있습니다.

fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

filterIndex 명령을 사용하면이 쿼리가에 대해 인덱싱되지 않은 모든 로그 그룹을 건너뛰려고 시도합니다IPaddress. 또한 인덱싱된 로그 그룹 내에서 쿼리는 IPaddress 필드가 있지만 해당 필드198.51.100.0의 값으로 관찰되지 않는 로그 이벤트를 건너뜁니다.

IN 연산자를 사용하여 인덱싱된 필드의 여러 값으로 결과를 확장합니다. 다음 예제에서는 값 198.51.100.0 또는가 포함된 로그 이벤트를 198.51.100.1 IPaddress 필드에 찾습니다.

fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20