NQLウィズ
with 句を使用すると、インベントリオブジェクトテーブルをイベントテーブルと結合できます。 特定のオブジェクトに対して少なくとも1つのイベントが記録されている場合にのみ、オブジェクトごとのデータを返します。 イベントに条件を設定してインベントリオブジェクトを照会するために使用します。
構文
<object table> ...
| with <event table> ...例
過去7日間に少なくとも1つのエラーが発生したすべてのデバイスを選択します。
devices
| with web.errors during past 7d
| list device.name, operating_system.namedevice-54304276
Windows 10 Pro 21H1 (64ビット)
device-c0b53b3f
Windows 10 Enterprise 21H1 (64ビット)
device-71cedc8f
Windows 10 Enterprise 21H1 (64ビット)
device-dc98cd15
Windows 10 Enterprise 21H1 (64ビット)
device-b5d55bd0
Windows 10 Pro 21H1 (64ビット)
device-706d3c09
Windows 10 Pro 21H1 (64ビット)
device-a56b63f1
Windows 10 Enterprise 21H1 (64ビット)
device-259c7017
Windows 10 Pro 20H2 (64ビット)
device-d0ce2109
Windows 10 Enterprise 21H1 (64ビット)
新しいメトリックの計算
with 句は compute 句と共に使用することができ、オブジェクトごとの新しい列にメトリックを追加します。 詳細は、NQL compute のキーワードドキュメントページを参照してください。
複数の ‘with’ 句の使用
NQL クエリには複数の with 句を含めることができます。
7
0
odio.exe
f32bd724cb4b8593c9789ec584eb38dc
12
0
volutpat.exe
5ec62b81e594367fa20a3fbdf4e4e7f3
24
0
eget.exe
dc182b7939eba5ca8b1d64396b88fcd2
3
0
euismod.exe
2d0c540521f7e5683487c42c6ff52479
9
0
euismod.exe
2d0c540521f7e5683487c42c6ff52479
17
0
aliquet.exe
f4c4ad04db18ff1d225cbc43e864748a
データのフィルタリング
計算された値のみが with 句の外で利用可能です。 devices から始めると、そのテーブルのフィールドのみが他の文に使用できます。 with と compute を追加すると、新しいフィールドが利用可能になります。
device-741da9be
125
device-c91fa737
120
device-08469fee
62
device-f2301dea
51
device-9e07abe9
45
device-03680882
42
device-25c67269
42
device-f8586bb6
41
device-b5d55bd0
39
device-60ea7a88
39
Last updated
Was this helpful?