As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sintaxe de padrões de filtros para filtros de métricas, filtros de assinatura, filtros de eventos de log e Live Tail.
Com o CloudWatch Logs, você pode usar filtros métricos para transformar dados de log em métricas acionáveis, filtros de assinatura para encaminhar eventos de log para outros AWS serviços, filtrar eventos de log para pesquisar eventos de log e Live Tail para visualizar interativamente seus registros em tempo real à medida que são ingeridos.
Os padrões de filtro compõem a sintaxe que filtros métricos, filtros de assinatura, eventos de registro e Live Tail usam para combinar termos em eventos de registro. Os termos podem ser palavras, frases exatas ou valores numéricos. Expressões regulares (regex) podem ser usadas para criar padrões de filtro autônomos ou podem ser incorporadas a padrões de filtro JSON delimitados por espaço.
Crie padrões de filtro com os termos que você deseja corresponder. Os padrões de filtro retornam apenas os eventos de log que contêm os termos que você definiu. Você pode testar padrões de filtro no CloudWatch console.
Sintaxe de expressões regulares (regex) compatíveis
Ao usar regex para pesquisar e filtrar dados de log, é necessário envolver suas expressões com %
.
Os padrões de filtros com regex só podem incluir o seguinte:
Caracteres alfanuméricos: um caractere alfanumérico é um caractere que é uma letra (A a Z ou a a z) ou um dígito (0 a 9).
Caracteres de símbolo compatíveis: "_
", "#
", "=
", "@
", "/
", ";
", ",
" e "-
", entre outros. Por exemplo, %something!%
seria rejeitado porque "!
" não é aceito.
Operadores compatíveis: "^
", "$
", "?
", "[
", "]
", "{
", "}
", "|
", "\
", "*
", "+
", e ".
", entre outros.
Os operadores (
e )
e não são aceitos. Não é possível usar parênteses para definir um subpadrão.
Caracteres multibytes não são aceitos.
Cotas
Há um máximo de 5 padrões de filtros contendo regex para cada grupo de logs na criação de filtros de métricas ou filtros de assinatura.
Há um limite de 2 regex para cada padrão de filtro ao criar um padrão delimitado ou de JSON filtro para filtros métricos e filtros de assinatura ou ao filtrar eventos de log ou Live Tail.
Uso de operadores compatíveis
^
: fixa a correspondência no início de uma string. Por exemplo, %^[hc]at%
corresponde a "hat" e "cat", mas somente no início de uma string.
$
: fixa a correspondência no final de uma string. Por exemplo, %[hc]at$%
corresponde a "hat" e "cat", mas somente no final de uma string.
?
: corresponde a zero ou mais instâncias do termo anterior. Por exemplo, %colou?r%
pode corresponder a "color" e "colour".
[]
: define uma classe de caracteres. Corresponde à lista de caracteres ou ao intervalo de caracteres contido nos colchetes. Por exemplo, %[abc]%
corresponde a "a", "b", ou "c"; %[a-z]%
corresponde a qualquer letra minúscula de "a" a "z"; e %[abcx-z]%
corresponde a "a", "b", "c", "x", "y", ou "z".
{m, n}
: corresponde ao termo anterior no mínimo m e não mais que n vezes. Por exemplo, %a{3,5}%
corresponde somente a "aaa", "aaaa", e "aaaaa".
Tanto m quanto n podem ser omitidos se você optar por não definir um mínimo ou máximo.
|
: booleano "Or", que corresponde ao termo em ambos os lados da barra vertical. Por exemplo, %gra|ey%
pode corresponder a "gray" ou "grey".
Um termo é como um único caractere ou uma classe de caracteres repetidos que usa um dos seguintes operadores: ?
, *
, +
, ou {n,m}
.
\
: caractere de escape que permite usar o significado literal de um operador em vez de seu significado especial. Por exemplo, %\[.\]%
corresponde a qualquer caractere único cercado por "[" e "]", pois escape antecede os colchetes, como "[a]", "[b]", "[7]", "[@]", "[]]", e "[ ]".
%10\.10\.0\.1%
é a maneira correta de criar uma regex que corresponda ao endereço IP 10.10.0.1.
*
: corresponde a zero ou mais instâncias do termo anterior. Por exemplo, %ab*c%
pode corresponder a "ac", "abc" e "abbbc"; %ab[0-9]*%
pode corresponder a "ab", "ab0" e "ab129".
+
: corresponde a uma ou mais instâncias do termo anterior. Por exemplo, %ab+c%
pode corresponder a "abc", "abbc" e "abbbc", mas não a "ac".
.
: corresponde a qualquer caractere sozinho. Por exemplo, %.at%
corresponde a qualquer string de três caracteres que termina com "at", incluindo "hat", "cat", "bat", "4at", "#at" e " at" (começando com um espaço).
Ao criar uma regex para fazer a correspondência de endereços IP, é importante colocar escape antes do operador .
. Por exemplo, %10.10.0.1%
pode corresponder a "10010,051", o que pode não ser o verdadeiro objetivo da expressão.
\d
, \D
: corresponde a um caractere de dígito/não dígito. Por exemplo, %\d%
é equivalente a %[0-9]%
e %\D%
é equivalente a %[^0-9]%
.
O operador maiúsculo indica o inverso de sua contraparte minúscula.
\s
, \S
: corresponde a um caractere de espaço em branco/caractere sem espaço em branco.
O operador maiúsculo indica o inverso de sua contraparte minúscula. Os caracteres de espaço em branco incluem os caracteres tab (\t
), espaço (
) e nova linha (\n
).
\w
, \W
: corresponde a um caractere alfanumérico/caractere não alfanumérico. Por exemplo, %\w%
é equivalente a %[a-zA-Z_0-9]%
e %\W%
é equivalente a %[^a-zA-Z_0-9]%
.
O operador maiúsculo indica o inverso de sua contraparte minúscula.
\xhh
: corresponde ao ASCII mapeamento de um caractere hexadecimal de dois dígitos. \x
é a sequência de escape que indica que os caracteres a seguir representam o valor hexadecimal de. ASCII hh
especifica os dois dígitos hexadecimais (0-9 e A-F) que apontam para um caractere na tabela. ASCII
É possível usar \xhh
para combinar caracteres de símbolo que não são compatíveis com o padrão de filtros. Por exemplo, %\x3A%
corresponde a :
; e %\x28%
corresponde a (
.
Como usar padrões de filtros para fazer a correspondência de termos usando uma expressão regular (regex)
É possível fazer a correspondência de termos em seus eventos de log usando um padrão regex cercado por %
(sinais de percentual antes e depois do padrão regex). O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna todos os eventos de log que consistem na AUTHORIZEDpalavra-chave.
Para obter uma lista de expressões regulares compatíveis, consulte Expressões regulares aceitas.
%AUTHORIZED%
O padrão de filtro retorna mensagens de eventos de log da seguinte forma:
Como usar padrões de filtros para fazer a correspondência de termos em eventos de log não estruturados
Os exemplos a seguir contêm trechos de código que mostram como é possível usar padrões de filtros para fazer a correspondência de termos em seus eventos de log não estruturados.
Os padrões de filtro diferenciam letras maiúsculas de minúsculas. Coloque frases exatas e termos que incluam caracteres não alfanuméricos entre aspas duplas ("").
- Example: Match a single term
-
O trecho de código a seguir mostra um exemplo de um padrão de filtro de termo único que retorna todos os eventos de log em que as mensagens contêm a palavra. ERROR
ERROR
Este padrão de filtro procura mensagens de eventos de log da seguinte forma:
[ERROR 400] BAD REQUEST
[ERROR 401] UNAUTHORIZED REQUEST
[ERROR 419] MISSING ARGUMENTS
[ERROR 420] INVALID ARGUMENTS
- Example: Match multiple terms
-
O trecho de código a seguir mostra um exemplo de um padrão de filtro de vários termos que retorna todos os eventos de registro em que as mensagens contêm as palavras e. ERRORARGUMENTS
ERROR ARGUMENTS
O filtro retorna mensagens de eventos de log da seguinte forma:
O padrão de filtro não retorna as seguintes mensagens de eventos de log porque elas não contêm os dois termos especificados no padrão do filtro.
- Example: Match optional terms
-
É possível usar a correspondência de padrões para criar padrões de filtros que retornem eventos de log contendo termos opcionais. Coloque um ponto de interrogação ("?") antes dos termos que você deseja corresponder. O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna todos os eventos de registro em que as mensagens contêm a palavra ERRORou a palavra. ARGUMENTS
?ERROR ?ARGUMENTS
Este padrão de filtro procura mensagens de eventos de log da seguinte forma:
[ERROR 400] BAD REQUEST
[ERROR 401] UNAUTHORIZED REQUEST
[ERROR 419] MISSING ARGUMENTS
[ERROR 420] INVALID ARGUMENTS
Não é possível combinar o ponto de interrogação (“?”) com outros padrões de filtro, como termos de inclusão e exclusão. Se você combinar “?” com outros padrões de filtro, o ponto de interrogação (“?”) será ignorado.
Por exemplo, o padrão de filtro a seguir corresponde a todos os eventos que contêm a palavra REQUEST
, mas o filtro de ponto de interrogação (“?”) é ignorado e não tem efeito.
?ERROR ?ARGUMENTS REQUEST
Correspondências de eventos de log
- Example: Match exact phrases
-
O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna eventos de log em que as mensagens contêm a frase exata. INTERNALSERVERERROR
"INTERNAL SERVER ERROR"
O padrão de filtro retorna a seguinte mensagem de eventos de log:
- Example: Include and exclude terms
-
Você pode criar padrões de filtro que retornem eventos de log nos quais as mensagens incluam alguns termos e excluam outros. Coloque um símbolo de menos ("-") antes dos termos que você deseja excluir da busca. O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna eventos de log em que as mensagens incluem o termo ERRORe excluem o termo. ARGUMENTS
ERROR -ARGUMENTS
O padrão de filtro retorna mensagens de eventos de log da seguinte forma:
Esse padrão de filtro não retorna as seguintes mensagens de eventos de log porque elas contêm a palavra ARGUMENTS.
- Example: Match everything
-
É possível corresponder a tudo nos eventos de log usando aspas duplas. O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna todos os eventos de log.
" "
Usando padrões de filtro para combinar termos em eventos de JSON log
A seguir, descrevemos como escrever a sintaxe para padrões de filtro que correspondam a JSON termos contendo cadeias de caracteres e valores numéricos.
- Writing filter patterns that match strings
-
Você pode criar padrões de filtro para combinar sequências de caracteres em eventos de JSON log. O trecho de código a seguir mostra um exemplo de sintaxe de padrão de filtro baseado em string.
{ PropertySelector
EqualityOperator
String
}
Coloque padrões de filtros entre chaves ("{}"). Padrões de filtros baseados em string devem conter as seguintes partes:
Seletor de propriedades
Defina seletores de propriedades com um cifrão seguido de um ponto ("$."). Os seletores de propriedade são strings alfanuméricas compatíveis com os caracteres de hífen ("-") e underline ("_"). Strings não são compatíveis com notação científica. Os seletores de propriedades apontam para nós de valor em eventos de JSON log. Os nós de valor podem ser strings ou números. Coloque matrizes após seletores de propriedades. Os elementos nas matrizes seguem um sistema de numeração baseado em zero, o que significa que o primeiro elemento na matriz é o elemento 0, o segundo elemento é o elemento 1 e assim por diante. Coloque elementos entre colchetes ("[]"). Se um seletor de propriedades apontar para uma matriz ou um objeto, o padrão de filtro não corresponderá ao formato do log. Se a JSON propriedade contiver um ponto ("."
), a notação de colchetes poderá ser usada para selecionar essa propriedade.
Seletor de curingas
Você pode usar o JSON curinga para selecionar qualquer elemento da matriz ou qualquer campo de JSON objeto.
Cotas
É possível usar no máximo um seletor de curinga em um seletor de propriedades.
Operador de igualdade
Defina operadores de igualdade com um dos seguintes símbolos: igual ("=") ou diferente ("!="). Os operadores de igualdade retornam um valor booliano (true ou false).
String
Você pode colocar strings entre aspas duplas (""). Strings que contenham tipos que não sejam caracteres alfanuméricos ou underline devem ser colocadas entre aspas duplas. Use o asterisco ("*") como curinga para corresponder ao texto.
Você pode usar qualquer expressão regular condicional ao criar padrões de filtro para corresponder aos termos em eventos de JSON log. Para obter uma lista de expressões regulares compatíveis, consulte Expressões regulares aceitas.
O trecho de código a seguir contém um exemplo de um padrão de filtro que mostra como você pode formatar um padrão de filtro para corresponder a um JSON termo com uma string.
{ $.eventType = "UpdateTrail" }
- Writing filter patterns that match numeric values
-
Você pode criar padrões de filtro para corresponder aos valores numéricos em eventos de JSON log. O seguinte trecho de código mostra um exemplo de sintaxe para padrões de filtros que correspondem a valores numéricos.
{ PropertySelector
NumericOperator
Number
}
Coloque padrões de filtros entre chaves ("{}"). Os padrões de filtros que correspondem a valores numéricos devem ter as seguintes partes:
Seletor de propriedades
Defina seletores de propriedades com um cifrão seguido de um ponto ("$."). Os seletores de propriedade são strings alfanuméricas compatíveis com os caracteres de hífen ("-") e underline ("_"). Strings não são compatíveis com notação científica. Os seletores de propriedades apontam para nós de valor em eventos de JSON log. Os nós de valor podem ser strings ou números. Coloque matrizes após seletores de propriedades. Os elementos nas matrizes seguem um sistema de numeração baseado em zero, o que significa que o primeiro elemento na matriz é o elemento 0, o segundo elemento é o elemento 1 e assim por diante. Coloque elementos entre colchetes ("[]"). Se um seletor de propriedades apontar para uma matriz ou um objeto, o padrão de filtro não corresponderá ao formato do log. Se a JSON propriedade contiver um ponto ("."
), a notação de colchetes poderá ser usada para selecionar essa propriedade.
Seletor de curingas
Você pode usar o JSON curinga para selecionar qualquer elemento da matriz ou qualquer campo de JSON objeto.
Cotas
É possível usar no máximo um seletor de curinga em um seletor de propriedades.
Operador numérico
Defina operadores numéricos com um dos seguintes símbolos: maior que (">"), menor que ("<"), igual a ("="), diferente de ("! ="), maior ou igual a (">="), ou menor ou igual a ("<=").
Número
Você pode usar números inteiros que contenham os símbolos de mais ("+") ou menos ("-") e seguir a notação científica. Use o asterisco ("*") como curinga para corresponder números.
O trecho de código a seguir contém exemplos que mostram como você pode formatar padrões de filtro para combinar JSON termos com valores numéricos.
// Filter pattern with greater than symbol
{ $.bandwidth > 75 }
// Filter pattern with less than symbol
{ $.latency < 50 }
// Filter pattern with greater than or equal to symbol
{ $.refreshRate >= 60 }
// Filter pattern with less than or equal to symbol
{ $.responseTime <= 5 }
// Filter pattern with equal sign
{ $.errorCode = 400}
// Filter pattern with not equal sign
{ $.errorCode != 500 }
// Filter pattern with scientific notation and plus symbol
{ $.number[0] = 1e-3 }
// Filter pattern with scientific notation and minus symbol
{ $.number[0] != 1e+3 }
Os exemplos a seguir contêm trechos de código que mostram como os padrões de filtro podem corresponder aos termos em um evento de JSON log.
Se você testar um exemplo de padrão de filtro com o evento de JSON registro de exemplo, deverá inserir o JSON registro de exemplo em uma única linha.
JSONevento de log
{
"eventType": "UpdateTrail",
"sourceIPAddress": "111.111.111.111",
"arrayKey": [
"value",
"another value"
],
"objectList": [
{
"name": "a",
"id": 1
},
{
"name": "b",
"id": 2
}
],
"SomeObject": null,
"cluster.name": "c"
}
- Example: Filter pattern that matches string values
-
Esse padrão de filtro corresponde à string "UpdateTrail"
na propriedade "eventType"
.
{ $.eventType = "UpdateTrail" }
- Example: Filter pattern that matches string values (IP address)
-
O padrão de filtro contém um curinga e corresponde à propriedade "sourceIPAddress"
porque ele não contém um número com o prefixo "123.123."
.
{ $.sourceIPAddress != 123.123.* }
- Example: Filter pattern that matches a specific array element with a string value
-
Esse padrão de filtro corresponde ao elemento "value"
na matriz "arrayKey"
.
{ $.arrayKey[0] = "value" }
- Example: Filter pattern that matches a string using regex
-
Esse padrão de filtro corresponde à string "Trail"
na propriedade "eventType"
.
{ $.eventType = %Trail% }
- Example: Filter pattern that uses a wildcard to match values of any element in the array using regex
-
O padrão de filtro contém uma regex que corresponde ao elemento "value"
na matriz "arrayKey"
.
{ $.arrayKey[*] = %val.{2}% }
- Example: Filter pattern that uses a wildcard to match values of any element with a specific prefix and subnet using regex (IP address)
-
O padrão de filtro contém uma regex que corresponde ao elemento "111.111.111.111"
na propriedade "sourceIPAddress"
.
{ $.* = %111\.111\.111\.1[0-9]{1,2}% }
Cotas
É possível usar no máximo um seletor de curinga em um seletor de propriedades.
- Example: Filter pattern that matches a JSON property with a period (.) in the key
-
{ $.['cluster.name'] = "c" }
- Example: Filter pattern that matches JSON logs using IS
-
Você pode criar padrões de filtro que combinem campos em JSON registros com a IS
variável. A variável IS
pode corresponder campos que contenham os valores NULL
, TRUE
ou FALSE
. O padrão de filtro a seguir retorna JSON registros em que o valor de SomeObject
éNULL
.
{ $.SomeObject IS NULL }
- Example: Filter pattern that matches JSON logs using NOT EXISTS
-
Você pode criar padrões de filtro com a NOT EXISTS
variável para retornar JSON registros que não contêm campos específicos nos dados do registro. O padrão de filtro a seguir NOT EXISTS
é usado para retornar JSON registros que não contêm o campoSomeOtherObject
.
{ $.SomeOtherObject NOT EXISTS }
No momento, não há compatibilidade com as variáveis IS NOT
e EXISTS
.
Você pode usar os operadores lógicos AND (“&&”) e OR (“||”) em padrões de filtro para criar expressões compostas que correspondam a eventos de log em que duas ou mais condições sejam verdadeiras. Expressões compostas são compatíveis com o uso de parênteses ("()") e com a seguinte ordem padrão de operações: () > && > ||. Os exemplos a seguir contêm trechos de código que mostram como você pode usar padrões de filtro com expressões compostas para combinar termos em um JSON objeto.
JSONobjeto
{
"user": {
"id": 1,
"email": "John.Stiles@example.com"
},
"users": [
{
"id": 2,
"email": "John.Doe@example.com"
},
{
"id": 3,
"email": "Jane.Doe@example.com"
}
],
"actions": [
"GET",
"PUT",
"DELETE"
],
"coordinates": [
[0, 1, 2],
[4, 5, 6],
[7, 8, 9]
]
}
- Example: Expression that matches using AND (&&)
-
Este padrão de filtro contém uma expressão composta que faz a correspondência de "id"
em "user"
com um valor numérico de 1
e de "email"
no primeiro elemento da matriz "users"
com a string "John.Doe@example.com"
.
{ ($.user.id = 1) && ($.users[0].email = "John.Doe@example.com") }
- Example: Expression that matches using OR (||)
-
Esse padrão de filtro contém uma expressão composta que faz a correspondência de "email"
em "user"
com a string "John.Stiles@example.com"
.
{ $.user.email = "John.Stiles@example.com" || $.coordinates[0][1] = "nonmatch" && $.actions[2] = "nonmatch" }
- Example: Expression that doesn't match using AND (&&)
-
Esse padrão de filtro contém uma expressão composta que não encontra uma correspondência porque a expressão não corresponde à terceira ação em "actions"
.
{ ($.user.email = "John.Stiles@example.com" || $.coordinates[0][1] = "nonmatch") && $.actions[2] = "nonmatch" }
Cotas
É possível usar no máximo um seletor de curinga em um seletor de propriedades e até três seletores de curinga em um padrão de filtro com expressões compostas.
- Example: Expression that doesn't match using OR (||)
-
O padrão de filtro contém uma expressão composta que não encontra uma correspondência porque a expressão não corresponde à primeira propriedade em "users"
ou à terceira ação em "actions"
.
{ ($.user.id = 2 && $.users[0].email = "nonmatch") || $.actions[2] = "GET" }
Como usar padrões de filtros para fazer correspondência de termos em eventos de log delimitados por espaços
É possível criar padrões de filtros para fazer a correspondência de termos em eventos de log delimitados por espaços Veja a seguir um exemplo de evento de log delimitado por espaços e uma descrição de como escrever a sintaxe para padrões de filtros que correspondam aos termos do evento de log delimitado por espaços.
É possível usar qualquer expressão regular condicional ao criar padrões de filtros para fazer a correspondência de termos em eventos de log delimitados por espaços. Para obter uma lista de expressões regulares compatíveis, consulte Expressões regulares aceitas.
- Example: Space-delimited log event
-
O trecho de código a seguir mostra um evento de log delimitado por espaço que contém sete campos: ip
, user
, username
, timestamp
, request
, status_code
e bytes
.
127.0.0.1 Prod frank [10/Oct/2000:13:25:15 -0700] "GET /index.html HTTP/1.0" 404 1534
Caracteres entre colchetes ("[]") e entre aspas duplas ("") são considerados campos únicos.
- Writing filter patterns that match terms in a space-delimited log event
-
Para criar um padrão de filtro que corresponda a termos em um evento de log delimitado por espaços, coloque o padrão de filtro entre colchetes ("[]") e especifique campos com nomes separados por vírgulas (","). O padrão de filtro a seguir analisa sete campos.
[ip=%127\.0\.0\.[1-9]%, user, username, timestamp, request =*.html*, status_code = 4*, bytes]
É possível usar operadores numéricos ( >, <, =, !=, >= ou <=) e o asterisco (*) como um curinga ou uma regex para fornecer condições de padrão de filtro. No exemplo de padrão de filtro, ip
usa uma regex que corresponde ao intervalo de endereços IP 127.0.0.1 a 127.0.0.9, request
contém um curinga que indica que ele deve extrair um valor com .html
e status_code
contém um curinga que afirma que deve extrair um valor começando com 4
.
Se não souber o número de campos que está analisando em um evento de log delimitado por espaço, você poderá usar reticências (…) para fazer referência a qualquer campo sem nome. As reticências podem fazer referência a quantos campos forem necessários. O exemplo a seguir mostra um padrão de filtro com reticências que representam os primeiros quatro campos sem nome mostrados no padrão de filtro de exemplo anterior.
[..., request =*.html*, status_code = 4*, bytes]
Você também pode usar os operadores lógicos AND (&&) e OR (||) para criar expressões compostas. O padrão de filtro a seguir contém uma expressão composta que indica que o valor de status_code
deve ser 404
ou 410
.
[ip, user, username, timestamp, request =*.html*, status_code = 404 || status_code = 410, bytes]
É possível usar a correspondência de padrões para criar padrões de filtros delimitados por espaços que correspondam a termos em uma ordem específica. Especifique a ordem de seus termos com indicadores. Use w1 para representar seu primeiro termo e w2 e assim por diante para representar a ordem dos termos subsequentes. Coloque vírgulas (",") entre os termos. Os exemplos a seguir contêm trechos de código que mostram como é possível usar a correspondência de padrões com padrões de filtros delimitados por espaços.
É possível usar qualquer expressão regular condicional ao criar padrões de filtros para fazer a correspondência de termos em eventos de log delimitados por espaços. Para obter uma lista de expressões regulares compatíveis, consulte Expressões regulares aceitas.
Evento de log delimitado por espaços
INFO 09/25/2014 12:00:00 GET /service/resource/67 1200
INFO 09/25/2014 12:00:01 POST /service/resource/67/part/111 1310
WARNING 09/25/2014 12:00:02 Invalid user request
ERROR 09/25/2014 12:00:02 Failed to process request
- Example: Match terms in order
-
O seguinte padrão de filtro delimitado por espaço retorna eventos de log onde está a primeira palavra nos eventos de log. ERROR
[w1=ERROR, w2]
Ao criar filtros de métrica delimitados por espaços que usam correspondência de padrões, é necessário incluir um indicador em branco depois de especificar a ordem dos termos. Por exemplo, se você criar um padrão de filtro que retorna eventos de registro em que a primeira palavra está ERROR, inclua um indicador w2 em branco após o termo w1.
- Example: Match terms with AND (&&) and OR (||)
-
Você pode usar os operadores lógicos AND (“&&”) e OR (“||”) para criar padrões de filtro delimitados por espaço que contenham condições. O padrão de filtro a seguir retorna eventos de log em que a primeira palavra nos eventos é ERRORou WARNING.
[w1=ERROR || w1=WARNING, w2]
- Example: Exclude terms from matches
-
É possível criar padrões de filtros delimitados por espaços que retornam eventos de log excluindo um ou mais termos. Coloque um símbolo de diferente ("-") antes do termo ou dos termos que você deseja excluir. O trecho de código a seguir mostra um exemplo de um padrão de filtro que retorna eventos de log em que as primeiras palavras não são e. ERRORWARNING
[w1!=ERROR && w1!=WARNING, w2]
- Example: Match the top level item in a resource URI
-
O trecho de código a seguir mostra um exemplo de um padrão de filtro que corresponde ao item de nível superior em um recurso URI usando regex.
[logLevel, date, time, method, url=%/service/resource/[0-9]+$%, response_time]
- Example: Match the child level item in a resource URI
-
O trecho de código a seguir mostra um exemplo de um padrão de filtro que corresponde ao item de nível filho em um recurso URI usando regex.
[logLevel, date, time, method, url=%/service/resource/[0-9]+/part/[0-9]+$%, response_time]