Поисковый запрос в Sumologic - содержит
Я немного потерян с поисковым запросом в Sumologic. Мне нужно получить журналы, где _sourceHost содержит production
В случае SQL это выглядело так
WHERE app="my-app" AND _sourceHost LIKE "%production%"
Кто-нибудь знает, возможно ли это в Сумологическом?
3 ответа
Попробуй это:
| where _sourceHost matches "*production*"
смотрите также:
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/matches
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/where
Вы можете добавить шаблоны к вашей строке для _sourcehost= Я не знаю, является ли app= частью вашей строки или это индексированное значение. Если это просто часть строки журнала, это будет выглядеть так:
"app=\"my-app\"" AND _sourceHost=*production*
В противном случае это может быть
app=my-app AND _sourceHost=*production*
Еще один шаг, вы можете использовать символы подстановки в середине строки, например,
prod*box будет соответствовать prod553box или же prod999box или же prodfoobox
вы можете использовать регулярное выражение, чтобы соответствовать формулировке.
(_sourceCategory="dev/test-app")
| parse regex field=_raw "(?<pre> \w*)production(?<suff> \w*)"