Contribuisci in GitHub: Modifica in linea operatore regex di corrispondenza
Filtra una serie di record basata su un valore regex sensibile al maiuscolo / minuscolo.
Sintassi
T | where col matches regex (espressione)
Argomenti
- T - L'input tabulare i cui record devono essere filtrati.
- col - La colonna da filtrare.
- expression - espressione letterale o scalare.
Restituisce
Righe in T per cui il predicato è true.
Esempio
Questo esempio mostra una query che applica un'espressione regolare al payload che ricerca il termine QRadar.
events
| project payload, name, original_time
| where original_time > ago(24h)
| where payload matches regex "QRadar"
| summarize EventCount=count() by EventName=name
Risultati
| EventName | EventCount |
|---|---|
| Trojan/Win32.autoit.cbx(89652587) | 3183766 |
| Bucket errori | 102822 |
| RFC2397 Rilevamento utilizzo schema URL dati | 34131 |
| Stato di inizializzazione per gli oggetti di servizio. | 322 |