Contribute in GitHub: オンラインでの編集 正規表現一致演算子
大/小文字の区別がある正規表現値に基づいてレコード・セットをフィルタリングします。
構文
T | where col matches regex (式)
引数
- T -レコードがフィルタリングされる表形式の入力。
- col -フィルタリングする列。
- expression -スカラーまたはリテラル式。
返品
述部が trueである T 内の行。
例
この例は、 QRadarという用語を検索するペイロードに正規表現を適用する照会を示しています。
events
| project payload, name, original_time
| where original_time > ago(24h)
| where payload matches regex "QRadar"
| summarize EventCount=count() by EventName=name
結果
| EventName | EventCount |
|---|---|
| Trojan/Win32.autoit.cbx(89652587) | 3183766 |
| 障害バケット | 102822 |
| RFC2397 データ URL スキームの使用の検出 (Data URL Scheme Usage Detection) | 34131 |
| サービス・オブジェクトの初期化状況。 | 322 |