Contribuir no GitHub: Editar on-line operador regex correspondente
Filtra um conjunto de registros com base em um valor de expressão regular com distinção entre maiúsculas e minúsculas.
Sintaxe
T | where col matches regex (expressão)
Argumentos
- T -A entrada tabular cujos registros devem ser filtrados
- col -A coluna a ser filtrada
- expression -expressão escalar ou literal.
Devoluções
As linhas em T para as quais o predicado é true
Exemplo
Este exemplo demonstra uma consulta aplicando uma expressão regular na carga útil procurando o termo QRadar.
events
| project payload, name, original_time
| where original_time > ago(24h)
| where payload matches regex "QRadar"
| summarize EventCount=count() by EventName=name
Resultados
| EventName | EventCount |
|---|---|
| Trojan/Win32.autoit.cbx(89652587) | 3183766 |
| Depósito de Falha | 102822 |
| RFC2397 Detecção de uso do esquema de URL de dados | 34131 |
| Status de inicialização para os objetos de serviço | 322 |