我在Sumologic的搜索查询中有点迷失了。我需要获取_sourceHost包含production
对于SQL,它看起来像这样
WHERE app="my-app" AND _sourceHost LIKE "%production%"
有人知道Sumologic中是否可以使用它?
答案 0 :(得分:2)
试试这个:
| where _sourceHost matches "*production*"
另见:
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/matches
https://help.sumologic.com/Search/Search_Query_Language/Search_Operators/where
答案 1 :(得分:0)
您可以为_sourcehost=的字符串添加通配符我不知道app =是否是字符串的一部分,或者它是否为索引值。如果它只是日志字符串的一部分,它将如下所示:
"app=\"my-app\"" AND _sourceHost=*production*
否则可能是
app=my-app AND _sourceHost=*production*
更进一步,您也可以在字符串中间使用通配符,例如
prod*box符合prod553box或prod999box或prodfoobox