Contribuir en GitHub: Editar en línea operador de expresión regular de coincidencia
Filtra un conjunto de registros basándose en un valor de expresión regular sensible a mayúsculas y minúsculas.
Sintaxis
T | where col matches regex (expresión)
Argumentos
- T : la entrada tabular cuyos registros se van a filtrar.
- col -La columna a filtrar.
- expression : expresión escalar o literal.
Devoluciones
Filas en T para las que el predicado es true.
Ejemplo
Este ejemplo muestra una consulta que aplica una expresión regular en la carga útil que busca el término QRadar.
events
| project payload, name, original_time
| where original_time > ago(24h)
| where payload matches regex "QRadar"
| summarize EventCount=count() by EventName=name
Resultados
| EventName | EventCount |
|---|---|
| Trojan/Win32.autoit.cbx(89652587) | 3183766 |
| Grupo de errores | 102822 |
| RFC2397 Detección de uso de esquema de URL de datos | 34131 |
| Estado de inicialización para objetos de servicio. | 322 |