Sumologic 中的搜索查询 - 包含
Search query in Sumologic - Contains
我对 Sumologic 中的搜索查询有点迷茫。我需要获取 _sourceHost 包含 production
的日志
在 SQL 的情况下,它看起来像这样
WHERE app="my-app" AND _sourceHost LIKE "%production%"
有人知道在 Sumologic 中是否可行吗?
试试这个:
| where _sourceHost matches "*production*"
另见:
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/matches
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/where
您可以在 _sourcehost= 的字符串中添加通配符 我不知道 app= 是字符串的一部分还是索引值。如果它只是日志字符串的一部分,它将如下所示:
"app=\"my-app\"" AND _sourceHost=*production*
否则可能是
app=my-app AND _sourceHost=*production*
更进一步,您也可以在字符串中间使用通配符,例如
prod*box 将匹配 prod553box 或 prod999box 或 prodfoobox
您可以使用正则表达式来匹配措辞。
(_sourceCategory="dev/test-app")
| parse regex field=_raw "(?<pre> \w*)production(?<suff> \w*)"
sumologic query screenshot
我对 Sumologic 中的搜索查询有点迷茫。我需要获取 _sourceHost 包含 production
在 SQL 的情况下,它看起来像这样
WHERE app="my-app" AND _sourceHost LIKE "%production%"
有人知道在 Sumologic 中是否可行吗?
试试这个:
| where _sourceHost matches "*production*"
另见:
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/matches
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/where
您可以在 _sourcehost= 的字符串中添加通配符 我不知道 app= 是字符串的一部分还是索引值。如果它只是日志字符串的一部分,它将如下所示:
"app=\"my-app\"" AND _sourceHost=*production*
否则可能是
app=my-app AND _sourceHost=*production*
更进一步,您也可以在字符串中间使用通配符,例如
prod*box 将匹配 prod553box 或 prod999box 或 prodfoobox
您可以使用正则表达式来匹配措辞。
(_sourceCategory="dev/test-app")
| parse regex field=_raw "(?<pre> \w*)production(?<suff> \w*)"
sumologic query screenshot