我有以下查詢。
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
有用。但是,我希望輸出顯示其中包含 ABC 的所有 URL,我只是不希望其中顯示包含 ABCD 的結果。
知道我該怎麼做嗎?我已經嘗試過以下方法,但失敗了。
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
答案1
這個查詢可能會解決問題:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")