以下の質問があります。
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
動作します。ただし、出力には ABC を含むすべての URL を表示したいのですが、ABCD を含む結果は表示したくありません。
どうすればそれができるのか、何かアイデアはありますか? 以下のことを試しましたが、失敗しました。
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
答え1
このクエリは役に立つかもしれません:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")