Eu tenho a consulta abaixo.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
Funciona. No entanto, gostaria que a saída mostrasse todos os URLs com ABC dentro deles, só não quero que resultados com ABCD apareçam neles.
Alguma ideia de como posso fazer isso? Eu tentei o abaixo, mas está falhando.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
Responder1
Esta consulta pode resolver o problema:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")