Tengo la siguiente consulta.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
Funciona. Sin embargo, me gustaría que el resultado mostrara todas las URL con ABC dentro de ellas, simplemente no quiero que se muestren resultados con ABCD en ellas.
¿Alguna idea de cómo puedo hacerlo? Intenté lo siguiente pero falla.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
Respuesta1
Esta consulta podría ser la solución:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")