filterIndex

Use filterIndex para retornar somente dados indexados, forçando uma consulta a verificar somente grupos de registros que estão indexados em um campo que você especifica na consulta. Para esses grupos de registros indexados nesse campo, ele otimiza ainda mais a consulta ignorando os grupos de registros que não têm nenhum evento de registro contendo o campo especificado na consulta do campo indexado. Ele reduz ainda mais o volume digitalizado ao tentar verificar somente eventos de log desses grupos de log que correspondam ao valor especificado na consulta para esse índice de campo. Para obter mais informações sobre índices de campo e como criá-los, consulteCrie índices de campo para melhorar o desempenho da consulta e reduzir o volume de escaneamento.

O uso filterIndex com campos indexados pode ajudá-lo a consultar grupos de registros que incluem petabytes de dados de registro de forma eficiente, limitando o espaço de pesquisa real a grupos de registros e eventos de log que têm índices de campo.

Por exemplo, suponha que você tenha criado um índice de IPaddress campo para alguns dos grupos de registros da sua conta. Em seguida, você pode criar a consulta a seguir e optar por consultar todos os grupos de registros na conta para encontrar eventos de registro que incluam o valor 198.51.100.0 no IPaddress campo.

fields @timestamp, @message
| filterIndex IPaddress = "198.51.100.0"
| limit 20

O filterIndex comando faz com que essa consulta tente ignorar todos os grupos de registros que não estão indexados. IPaddress Além disso, nos grupos de registros indexados, a consulta ignora eventos de registro que têm um IPaddress campo, mas não são observados 198.51.100.0 como o valor desse campo.

Use o IN operador para expandir os resultados para qualquer um dos vários valores dos campos indexados. O exemplo a seguir encontra eventos de registros que incluem o valor 198.51.100.0 ou 198.51.100.1 no IPaddress campo.

fields @timestamp, @message 
| filterIndex IPaddress in ["198.51.100.0", "198.51.100.1"]
| limit 20