Where 연산자
개요
다음으로 데이터를 필터링 where.
| where <불리언 표현식>예제
예제 데이터
let aws_alb = datatable [
{"type": "https", "p_event_time": time.now(), "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329},
{"type": "https", "p_event_time": time.now() - 1s, "clientIp": "192.168.1.1", "elbStatusCode": 403, "sentBytes": 167},
{"type": "https", "p_event_time": time.now() - 10m, "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167},
{"type": "https", "p_event_time": time.now() - 2d, "clientIp": "10.168.22.1", "elbStatusCode": 200, "sentBytes": 321}
];지난 하루 동안의 데이터 필터링
조건에 따라 데이터 필터링:
aws_alb
| where p_event_time > time.ago(1d){ "p_event_time": "2025-03-06 15:03:11.709000", "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329, "type": "https" }
{ "p_event_time": "2025-03-06 15:03:10.709000", "clientIp": "192.168.1.1", "elbStatusCode": 403, "sentBytes": 167, "type": "https" }
{ "p_event_time": "2025-03-06 14:53:11.709000", "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167, "type": "https" }
여러 조건으로 필터링
다음으로 조건 결합 와, 이전에 생성한 Snowflake 사용자 이름, 예를 들면 와 Enterprise 조직. 선택적으로 다음으로 표현식 그룹화 () 연산자 우선순위를 변경하려면:
{ "p_event_time": "2025-03-06 15:05:47.536000", "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329, "type": "https" }
{ "p_event_time": "2025-03-06 14:55:47.536000", "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167, "type": "https" }
마지막 업데이트
도움이 되었나요?