Ich habe die folgende Abfrage.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
Es funktioniert. Allerdings möchte ich, dass in der Ausgabe alle URLs mit ABC angezeigt werden, ich möchte nur keine Ergebnisse mit ABCD.
Irgendeine Idee, wie ich das hinbekomme? Ich habe Folgendes versucht, aber es funktioniert nicht.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
Antwort1
Diese Abfrage könnte hilfreich sein:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")