search
サポート (英語のみ)

NQL比較演算子

比較演算子を NQLウェア 句と共に使用して NQL クエリ結果をフィルタリングします。

演算子
定義
サポートされているデータ型

== または =

等しい

文字列

整数型(int)

float

ブール型(Boolean)

日付型時間型(date time)

列挙型(enumeration)

長さ

IPアドレス

バージョン

| where user.name = "jdoe@kanopy"

| where user.name == "jdoe@kanopy"

!=

等しくない

文字列

整数型(int)

float

ブール型(Boolean)

日付型時間型(date time)

列挙型(enumeration)

長さ

IPアドレス

バージョン

| where hardware_manufacturer != "VMWare" | where hardware_manufacturer != null

>

より大きい

整数型(int)

float

長さ

バイト型(byte)

IPアドレス

バージョン

| where hardware.memory > 8GB

<

未満

整数型(int)

float

長さ

バイト型(byte)

IPアドレス

バージョン

| where hardware.memory < 16GB

>=

以上

整数型(int)

float

日付型時間型(date time)

長さ

バイト型(byte)

IPアドレス

バージョン

| where hardware.memory >= 8GB

<=

以下

整数型(int)

float

日付型時間型(date time)

長さ

バイト型(byte)

IPアドレス

バージョン

| where hardware.memory <= 16GB

詳細については、NQLデータタイプ を参照してください。

circle-info

比較操作では、=== は互換性があります。 ただし、NQL計算 または NQLサマライズ ステートメントでエイリアスを使用する場合は、単一の = のみがサポートされます。

これらの演算子と組み合わせて使用されるすべての式は大文字小文字を区別しません。 たとえば、次のクエリは同じ結果を返します。

過去24時間以内のデバイス
| where name = "CORPSYS2022"
過去24時間以内のデバイス
| where name == "CoRpSyS2022"

hashtag
ワイルドカードの使用

ワイルドカードを使用して部分的な値を一致させ、フィルターの柔軟性を高めます。 比較演算子と組み合わせて使用される式は、以下のワイルドカード文字をサポートしています。

演算子
定義

*

任意の文字列を置き換えます

| where application.name = "Microsoft*"

"Microsoft" で始まるアプリケーション名を返します

| where application.name = "*Microsoft*"

"Microsoft" を含むアプリケーション名を返します

?

任意の1文字を置き換えます

| where device.operating_system.name == "Windows 1?"

Windows 10 や Windows 11 などの10以上のバージョンのオペレーティングシステム名を返します。

...

Last updated

Was this helpful?