NQLウェア

where 句を使用すると、NQL比較演算子 や NQL論理演算子 を利用してクエリーの結果をフィルタリングするための条件を追加できます。

フィールド値を固定の参照と比較する

特定の不変条件に一致する結果をフィルタリングするために、フィールド値を固定の参照と比較します。 たとえば：

• 特定のオペレーティングシステムを持つデバイスをフィルタリングします。

• 指定されたしきい値以下の空きメモリーを持つデバイスをフィルタリングします。

• 特定のバージョンを持つバイナリをフィルタリングします。

構文

...
| where <フィールド名> <比較演算子> <静的値>

例

Windowsオペレーティングシステムで動作するデバイスを選択してください。

過去7日間のデバイス
| where operating_system.platform == Windows

Windowsオペレーティングシステムで動作していないデバイスを選択してください。

名前に「jo」を含むユーザーを選択してください。

2つのフィールド値をお互いに比較する

フィールド間の動的な関係に基づいて結果をフィルタリングする場合、2つのフィールド値をお互いに比較してください。 同じテーブルからのフィールドのみ、互いに比較できます。

以下のフィールドを比較できます:

• ネイティブフィールド

• コンテキストフィールド

• クエリ内で計算されたメトリック（エイリアス）

• 手動カスタムフィールド

構文

例

ネイティブフィールドの比較

スピーカーとマイクに同じ周辺機器を使用していないユーザーを特定します。

ネイティブフィールドとコンテキストフィールドを比較する

デバイスの場所が変更されたイベントを除外します。

ネイティブフィールドを計算されたメトリックと比較する

実行クラッシュ後にコレクターのアクティビティがないデバイスを特定します。

ネイティブフィールドと手動カスタムフィールドを比較する

パッケージバージョンを手動カスタムフィールドに保存されている必要な準拠バージョンと比較します。

複数条件の使用

より複雑な条件を適用するために、NQLビット演算子(and または or)で区切られた複数フィルターを使用してください。 フィルターの条件は、優先順位の順序を保持するためにグループ化されます。 where句を別々の行に置くと、複数のand条件を持つ1つのwhere句を作成したときと同じ結果になります。

以下のクエリは、完全に同じ結果を提供します。