filter

Gunakan filter untuk mendapatkan peristiwa log yang cocok dengan satu atau beberapa kondisi.

Contoh: Filter peristiwa log menggunakan satu kondisi

Cuplikan kode menunjukkan contoh kueri yang mengembalikan semua peristiwa log di mana nilainya range lebih besar dari 3000. Kueri membatasi hasil hingga 20 peristiwa log dan mengurutkan peristiwa log berdasarkan @timestamp dan dalam urutan menurun.

fields @timestamp, @message
| filter (range>3000)
| sort @timestamp desc
| limit 20 

Contoh: Filter peristiwa log menggunakan lebih dari satu kondisi

Anda dapat menggunakan kata kunci and dan or menggabungkan lebih dari satu kondisi.

Cuplikan kode menunjukkan contoh kueri yang mengembalikan peristiwa log di mana nilai untuk lebih besar dari 3000 dan nilai untuk range sama dengan accountId 123456789012. Kueri membatasi hasil hingga 20 peristiwa log dan mengurutkan peristiwa log berdasarkan @timestamp dan dalam urutan menurun.

fields @timestamp, @message
| filter (range>3000 and accountId=123456789012)
| sort @timestamp desc
| limit 20

Kecocokan dan ekspresi reguler dalam perintah filter

Perintah filter mendukung penggunaan ekspresi reguler. Anda dapat menggunakan operator perbandingan berikut (=,,!=,<, <=>,>=) dan operator Boolean (and,or, dannot).

Anda dapat menggunakan kata kunci in untuk menguji keanggotaan set dan memeriksa elemen dalam array. Untuk memeriksa elemen dalam array, letakkan array setelahnyain. Anda dapat menggunakan operator Boolean not denganin. Anda dapat membuat kueri yang digunakan in untuk mengembalikan peristiwa log di mana bidang cocok dengan string. Bidang harus berupa string lengkap. Misalnya, cuplikan kode berikut menunjukkan kueri yang digunakan in untuk mengembalikan peristiwa log di mana bidang logGroup adalah string lengkap. example_group

fields @timestamp, @message
| filter logGroup in ["example_group"]

Anda dapat menggunakan frase kata kunci like dan not like untuk mencocokkan substring. Anda dapat menggunakan operator ekspresi reguler =~ untuk mencocokkan substring. Untuk mencocokkan substring dengan like dannot like, lampirkan substring yang ingin Anda cocokkan dalam tanda kutip tunggal atau ganda. Anda dapat menggunakan pola ekspresi reguler dengan like dannot like. Untuk mencocokkan substring dengan operator ekspresi reguler, lampirkan substring yang ingin Anda cocokkan dalam garis miring maju. Contoh berikut berisi cuplikan kode yang menunjukkan bagaimana Anda dapat mencocokkan substring menggunakan perintah. filter

Contoh: Match substring

Contoh berikut mengembalikan peristiwa log yang f1 berisi kata Pengecualian. Ketiga contoh tersebut peka terhadap huruf besar dan kecil.

Contoh pertama cocok dengan substring denganlike.

fields f1, f2, f3 
| filter f1 like "Exception"

Contoh kedua cocok dengan substring dengan like dan pola ekspresi reguler.

fields f1, f2, f3 
| filter f1 like /Exception/

Contoh ketiga cocok dengan substring dengan ekspresi reguler.

fields f1, f2, f3 
| filter f1 =~ /Exception/

Contoh: Cocokkan substring dengan wildcard

Anda dapat menggunakan simbol periode (.) sebagai wildcard dalam ekspresi reguler untuk mencocokkan substring. Dalam contoh berikut, query mengembalikan kecocokan di mana nilai untuk f1 dimulai dengan stringServiceLog.

fields f1, f2, f3
| filter f1 like /ServiceLog./

Anda dapat menempatkan simbol tanda bintang setelah simbol periode (.*) untuk membuat kuantifier serakah yang mengembalikan kecocokan sebanyak mungkin. Misalnya, query berikut mengembalikan kecocokan di mana nilai untuk f1 tidak hanya dimulai dengan stringServiceLog, tetapi juga termasuk stringServiceLog.

fields f1, f2, f3
| filter f1 like /ServiceLog.*/

Kemungkinan kecocokan dapat diformat seperti berikut:

• ServiceLogSampleApiLogGroup

• SampleApiLogGroupServiceLog

Contoh: Kecualikan substring dari korek api

Contoh berikut menunjukkan query yang mengembalikan peristiwa log di mana f1 tidak mengandung kata Exception. Contohnya adalah case senstive.

fields f1, f2, f3 
| filter f1 not like "Exception"

Contoh: Cocokkan substring dengan pola case-insensitive

Anda dapat mencocokkan substring yang tidak peka huruf besar/kecil dengan ekspresi like reguler. Tempatkan parameter berikut (? i) sebelum substring yang ingin Anda cocokkan. Contoh berikut menunjukkan query yang mengembalikan peristiwa log yang f1 berisi kata Pengecualian atau pengecualian.

fields f1, f2, f3 
| filter f1 like /(?i)Exception/