I filtri ti permettono di ridurre e controllare i dati restituiti da una query, mostrando solo i record che soddisfano condizioni specifiche. Sono uno degli strumenti più importanti del generatore di query, poiché ti aiutano a passare da grandi volumi di log a informazioni concrete e comprensibili.
Ogni filtro viene applicato su un campo della collezione selezionata e utilizza un operatore che definisce come il valore del campo viene confrontato con il valore che inserisci.
Come funzionano i filtri
Un filtro è sempre composto da tre parti:
- Campo: su quale dato stai filtrando (IP, status code, dominio, data, utente, ecc.)
- Operatore: come viene confrontato il valore (uguale, contiene, maggiore di, ecc.)
- Valore: ciò che vuoi cercare o escludere
Esempio:
- Campo: status code
- Operatore: =
- Valore: 500
Risultato: vengono mostrati solo i record con errore 500.
Come si combinano i filtri
Tutti i filtri in ConnectiLogs funzionano come una condizione cumulativa (AND logico):
- Un record viene mostrato solo se soddisfa tutti i filtri contemporaneamente
Esempio:
- status code = 500
- dominio = miodominio.com
Risultato: vedrai solo errori 500 di quel dominio specifico.
Tipi di filtri
Filtro uguale (=)
L'operatore uguale (=) è il filtro più basilare e anche uno dei più importanti in ConnectiLogs. Viene utilizzato per selezionare solo i record il cui valore corrisponde esattamente al valore che hai definito, senza ammettere variazioni, corrispondenze parziali o interpretazioni.
È un operatore di confronto rigoroso: ciò che scrivi è esattamente ciò che viene cercato.
Quando applichi un filtro con l'operatore uguale, ConnectiLogs scorre tutti i record del campo selezionato e restituisce solo quelli che soddisfano questa condizione esatta:
- valore del campo = valore del filtro
Non sono consentite differenze di formato, testo aggiuntivo, spazi extra o variazioni.
Esempio base:
Se lavori con la collezione di access logs e vuoi vedere solo gli errori del server:
- Campo: status code
- Operatore: =
- Valore: 500
Il risultato sarà:
Vedrai solo i record il cui codice di stato è esattamente 500.
Rimangono automaticamente esclusi:
- 404 (non trovato)
- 200 (corretto)
- 301 (redirect)
- qualsiasi altro valore
Caratteristiche
- Corrispondenza esatta (100%)
- Non ammette variazioni o pattern
- Non riconosce "parzialmente corretto"
- Riduce il dataset in modo molto controllato
Errori comuni nell'usare "="
Lavorando con questo operatore, è comune commettere alcuni errori:
- Pensare che includa corrispondenze parziali (non lo fa)
- Non tenere conto delle differenze di formato (www vs non www, maiuscole, ecc.)
- Usarlo quando in realtà serve un filtro di tipo "like"
- Dimenticare che il valore deve corrispondere esattamente a quello memorizzato nella collezione
Filtro diverso (!=)
L'operatore diverso (!=) è il complemento diretto dell'operatore uguale. Viene utilizzato per escludere tutti i record il cui valore corrisponde esattamente al valore che indichi, mostrando solo quelli che sono diversi.
È un operatore di filtraggio negativo: invece di definire ciò che vuoi vedere, definisci ciò che vuoi eliminare dal risultato.
Come funziona?
Quando applichi un filtro con !=, ConnectiLogs valuta ogni record del campo selezionato e lo include solo se:
- valore del campo != valore del filtro
In altre parole, qualsiasi corrispondenza esatta con il valore indicato viene automaticamente esclusa dalla query.
Esempio base:
Se stai analizzando i codici di stato negli access logs:
- Campo: status code
- Operatore: !=
- Valore: 500
Il risultato sarà:
Vedrai tutti i record tranne quelli con errore 500.
Questo include:
- 200 (corretto)
- 404 (non trovato)
- 301 (redirect)
- qualsiasi altro codice diverso da 500
Caratteristiche:
- Esclusione esatta di valori
- Funziona come filtro inverso rispetto a "="
- Riduce il dataset eliminando il rumore noto
- Molto utile per analisi comparative
- Non ammette corrispondenze parziali
Errori comuni nell'usare !=
- Usarlo quando in realtà si vogliono escludere più valori (meglio usare not in)
- Confonderlo con filtri parziali (non funziona con corrispondenze tipo "like")
- Dimenticare che esclude solo corrispondenze esatte, non variazioni del valore
Filtro contiene (like) e non contiene (not like)
Gli operatori like e not like vengono utilizzati per filtrare campi di testo quando non cerchi una corrispondenza esatta, ma pattern o frammenti di testo all'interno di un valore. Sono particolarmente utili in ConnectiLogs perché molti campi (come domini, percorsi, utenti o user agent) contengono informazioni strutturate dove non sempre conosci il valore completo.
Come funzionano?
A differenza dell'operatore uguale (=), che richiede una corrispondenza esatta, like permette corrispondenze parziali, cioè trovare record dove il testo appare all'interno del valore del campo.
- like: include corrispondenze che contengono il pattern
- not like: esclude corrispondenze che contengono il pattern
L'uso del carattere jolly %
Il comportamento di like e not like è controllato dal simbolo %, che funge da carattere jolly. Indica che può esistere qualsiasi testo in quella posizione.
Questo permette di definire tre tipi di ricerca:
Contiene testo in qualsiasi posizione
- Pattern: %testo%
Cerca record dove "testo" appare in qualsiasi parte del valore.
Esempio:
- filtro: dominio like %miodominio%
Risultato:
- miodominio.com
- api.miodominio.net
- test.miodominio123.es
Inizia con un testo
- Pattern: testo%
Cerca valori che iniziano esattamente con quel testo.
Esempio:
- filtro: dominio like miodominio%
Risultato:
- miodominio.com
- miodominio.net
- miodominio-api.com
Non includerebbe:
- api.miodominio.com
- testmiodominio.com
Finisce con un testo
- Pattern: %testo
Cerca valori che finiscono con quel testo.
Esempio:
- filtro: dominio like %miodominio
Risultato:
- api.miodominio
- test.miodominio
- logs.miodominio
Non includerebbe:
- miodominio.com
- miodominio.net
Cosa fa not like?
L'operatore not like funziona esattamente come like, ma al contrario: esclude tutti i record che contengono il pattern indicato.
Esempio di not like
- Campo: user agent
- Operatore: not like
- Valore: %bot%
Risultato:
Verranno esclusi tutti i record dove lo user agent contiene "bot", ad esempio:
- googlebot
- bingbot
- qualsiasi crawler o script automatizzato
E verranno mantenuti:
- browser reali
- traffico umano
- altri agenti non correlati ai bot
Quando usare like e not like?
Usare like quando:
- Non conosci il valore esatto del campo
- Vuoi raggruppare varianti dello stesso concetto
- Stai analizzando testi strutturati (domini, percorsi, log)
- Hai bisogno di cercare pattern in campi lunghi
Usare not like quando:
- Vuoi eliminare il rumore dai dati
- Hai bisogno di escludere pattern noti (bot, spam, test…)
- Stai pulendo i risultati per analisi più precise
- Vuoi mantenere traffico "umano" o rilevante
Differenze importanti con altri operatori
- =: corrispondenza esatta
- like: corrispondenza parziale (pattern)
- !=: esclusione esatta
- not like: esclusione per pattern
Errori comuni
- Dimenticare l'uso di % e non ottenere i risultati attesi
- Usare like quando si conosce effettivamente il valore esatto (meglio =)
- Usare not like in eccesso ed eliminare troppi dati utili
- Non considerare che piccole variazioni del testo cambiano il risultato
Filtro incluso in (in) e non incluso in (not in)
Gli operatori in e not in vengono utilizzati quando hai bisogno di lavorare con liste di valori, invece di confrontare con un singolo valore. Sono particolarmente utili in ConnectiLogs perché permettono di semplificare filtri multipli in una singola condizione, rendendo le query più semplici.
Come funzionano?
Questi operatori confrontano il valore di un campo con un insieme di opzioni:
- in: il record viene incluso se il suo valore è all'interno della lista
- not in: il record viene incluso se il suo valore NON è all'interno della lista
Operatore in (incluso in)
L'operatore in restituisce tutti i record il cui valore corrisponde a qualsiasi elemento della lista definita.
Esempio base:
Se stai analizzando i codici di stato:
- Campo: status code
- Operatore: in
- Valori: 404, 500
Risultato:
Verranno mostrati solo i record il cui status code è:
- 404
- 500
Tutto il resto rimane fuori dalla query.
Operatore not in (non incluso in)
L'operatore not in fa il contrario: esclude tutti i record il cui valore è all'interno della lista indicata.
Esempio base
- Campo: status code
- Operatore: not in
- Valori: [200, 301]
Risultato:
Verranno mostrati tutti i record tranne:
- 200 (OK)
- 301 (redirect)
Questo è utile quando vuoi concentrarti su errori o comportamenti anomali.
Quando usare in e not in?
Usare in quando:
- Vuoi filtrare più valori specifici contemporaneamente
- Stai lavorando con stati, codici o categorie limitate
- Hai bisogno di semplificare condizioni OR multiple in un'unica regola
- Vuoi concentrarti su un insieme specifico di eventi
Usare not in quando:
- Vuoi escludere più valori noti
- Stai ripulendo il rumore (bot, traffico interno, test…)
- Hai bisogno di analizzare "tutto tranne…"
- Vuoi ridurre i risultati senza perdere il contesto generale
Errori comuni
- Usare in quando c'è un solo valore (meglio usare =)
- Confondere in con like (non ci sono corrispondenze parziali qui)
- Includere troppi valori senza un criterio chiaro
- Non validare che tutti i valori della lista esistano effettivamente nei dati
Filtro maggiore di (>), maggiore o uguale di (>=), minore di (<) e minore o uguale di (<=)
Questi operatori vengono utilizzati per effettuare confronti numerici o temporali all'interno di ConnectiLogs. Sono importanti quando hai bisogno di lavorare con soglie, intervalli o limiti, specialmente in campi come date, tempi di risposta, dimensioni dei file o qualsiasi valore quantificabile.
A differenza dei filtri di testo, questi operatori non cercano corrispondenze esatte o pattern, ma relazioni d'ordine tra i valori.
Come funzionano?
Tutti questi operatori confrontano il valore di un campo con un valore di riferimento:
- > (maggiore di): il valore del campo deve essere strettamente superiore
- >= (maggiore o uguale a): il valore del campo deve essere superiore o uguale
- < (minore di): il valore del campo deve essere strettamente inferiore
- <= (minore o uguale a): il valore del campo deve essere inferiore o uguale
Maggiore di (>)
L'operatore > restituisce solo i record il cui valore è maggiore del valore indicato, senza includerlo.
Esempio
- Campo: response time
- Operatore: >
- Valore: 1
Risultato:
Verranno mostrati i record con tempo di risposta superiore a 1 secondo:
- 1.2s
- 2s
- 5s
Non include:
- 1s esatto
Maggiore o uguale a (>=)
L'operatore >= è simile al precedente, ma include il valore limite.
Esempio
- Campo: size
- Operatore: >=
- Valore: 4000
Risultato:
Verranno inclusi tutti i record con dimensione:
- 4000 KB
- 4500 KB
- 10000 KB
Minore di (<)
L'operatore < restituisce i record il cui valore è inferiore al valore indicato, senza includerlo.
Esempio
- Campo: response time
- Operatore: <
- Valore: 1
Risultato:
Verranno mostrati solo i record con tempi di risposta inferiori a 1 secondo:
- 0.2s
- 0.5s
- 0.9s
Non include:
- 1s esatto
Minore o uguale a (<=)
L'operatore <= include tutti i valori che sono minori o uguali al valore definito.
Esempio
- Campo: size
- Operatore: <=
- Valore: 1000
Risultato:
Verranno inclusi i record con dimensione:
- 1000 KB
- 800 KB
- 200 KB
Uso combinato (intervalli)
Questi operatori sono particolarmente potenti quando vengono combinati per creare intervalli di valori.
Esempio di intervallo
- response time >= 1
- response time <= 3
Risultato:
Vengono mostrati solo i record con tempi di risposta tra 1 e 3 secondi (inclusi entrambi gli estremi).
Questo permette di analizzare i comportamenti all'interno di un intervallo specifico.
Differenze chiave
- > e < → escludono il valore limite
- >= e <= → includono il valore limite
- Funzionano solo con dati numerici o temporali, non con testo
- Sono la base per costruire intervalli di analisi precisi
Errori comuni
- Usarli su campi di testo (non è valido)
- Confondere > con >= e perdere il valore limite
- Non definire correttamente gli intervalli (lasciando vuoti tra le condizioni)
Consigli pratici per l'uso dei filtri
In ConnectiLogs, i filtri sono più potenti quando vengono utilizzati con una strategia chiara e progressiva, piuttosto che cercare di costruire una query perfetta fin dall'inizio.
È altamente consigliabile iniziare sempre con filtri base e facili da validare (ad esempio, per dominio, status code o intervallo di date) e verificare che la query restituisca dati prima di aggiungere ulteriori condizioni. Da lì, puoi affinare gradualmente fino a raggiungere il livello di dettaglio di cui hai bisogno.
È fondamentale scegliere l'operatore giusto in base al tipo di dato. Per corrispondenze esatte usa =, per esclusioni puntuali !=, per liste di valori in / not in, per ricerche flessibili nel testo like / not like, e per intervalli numerici o temporali >, >=, <, <=. Usare l'operatore sbagliato è una delle cause più comuni di risultati vuoti o inaspettati.
È anche importante capire che tutti i filtri si combinano tra loro in modo cumulativo (AND), il che significa che ogni condizione riduce il dataset. Pertanto, aggiungere troppi filtri restrittivi dall'inizio può farti perdere informazioni rilevanti o addirittura far sì che la query non restituisca risultati.
Quando lavori con più valori noti, utilizza in / not in invece di ripetere più filtri uguali, poiché semplifica la query e ne migliora la leggibilità. Se hai bisogno di cercare pattern all'interno del testo, usa like / not like con attenzione al carattere jolly %, evitando interpretazioni troppo ampie o troppo restrittive.
In sintesi, la chiave è bilanciare precisione e ampiezza: iniziare con filtri semplici, validare i risultati e affinare gradualmente, assicurandoti sempre di utilizzare l'operatore appropriato per ogni tipo di dato.