У меня есть следующий вопрос.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
Это работает. Однако я хотел бы, чтобы в выводе отображались все URL-адреса, содержащие ABC, я просто не хочу, чтобы в них отображались результаты, содержащие ABCD.
Есть идеи, как это сделать? Я пробовал сделать так, как указано ниже, но ничего не вышло.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
решение1
Этот запрос может сработать:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")