Where 연산자

개요

데이터를 다음으로 필터링 where.

| where <부울 표현식>

예시

예시 데이터

let aws_alb = datatable [
  {"type": "https", "p_event_time": time.now(), "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329},
  {"type": "https", "p_event_time": time.now() - 1s, "clientIp": "192.168.1.1", "elbStatusCode": 403, "sentBytes": 167},
  {"type": "https", "p_event_time": time.now() - 10m, "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167},
  {"type": "https", "p_event_time": time.now() - 2d, "clientIp": "10.168.22.1", "elbStatusCode": 200, "sentBytes": 321}
];

지난 하루 내의 데이터 필터링

조건에 따라 데이터 필터링:

aws_alb
| where p_event_time > time.ago(1d)

이벤트

{ "p_event_time": "2025-03-06 15:03:11.709000", "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329, "type": "https" }

{ "p_event_time": "2025-03-06 15:03:10.709000", "clientIp": "192.168.1.1", "elbStatusCode": 403, "sentBytes": 167, "type": "https" }

{ "p_event_time": "2025-03-06 14:53:11.709000", "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167, "type": "https" }

여러 조건으로 필터링

다음으로 조건을 결합 및, 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 및 아님. 선택적으로 식을 다음으로 그룹화 () 연산자 우선순위를 변경하려면:

aws_alb
| where p_event_time > time.ago(1d) and (elbStatusCode == 200 or elbStatusCode == 404)

이벤트

{ "p_event_time": "2025-03-06 15:05:47.536000", "clientIp": "192.168.11.34", "elbStatusCode": 200, "sentBytes": 329, "type": "https" }

{ "p_event_time": "2025-03-06 14:55:47.536000", "clientIp": "10.168.22.7", "elbStatusCode": 404, "sentBytes": 167, "type": "https" }

Previous시각화 연산자 NextPantherFlow 데이터 유형

Last updated 8 months ago

Was this helpful?

hashtag개요

hashtag예시

hashtag지난 하루 내의 데이터 필터링

hashtag여러 조건으로 필터링

개요

예시

지난 하루 내의 데이터 필터링

여러 조건으로 필터링