NQL条件

where 節は、クエリに条件を追加して結果をフィルタリングすることを可能にします。

フィールド値を固定された参照と比較する

特定の不変な基準と一致する結果をフィルタリングするために、フィールド値を固定された参照と比較します。 たとえば：

• 特定のoperating systemを持つデバイスをフィルタリングします。

• 指定されたしきい値以下の空きメモリを持つデバイスをフィルタリングします。

• 特定のバイナリバージョンをフィルタリングします。

構文

...
| where <フィールド名> <比較演算子> <固定値>

例

Windows operating systemを実行しているデバイスを選択します。

devices 過去7日間で
| where operating_system.platform == Windows

Windows operating systemを実行していないデバイスを選択します。

devices 過去7日間で
| where operating_system.platform != Windows
| list name, operating_system.platform

名前に「jo」を含むユーザーを選択します。

users 過去7日間で
| where username == "*jo*"

フィールド値を互いに比較する

フィールド間の動的な関係に基づいて結果をフィルタリングしたい場合、2つのフィールド値を互いに比較します。 同じテーブルのフィールドのみ互いに比較できます。

次のフィールドを比較できます：

• ネイティブフィールド

• コンテキストフィールド

• クエリ内で計算されたメトリクス（別名）

• 手動のカスタムフィールド

構文

...
| where <フィールドAの名前> <比較演算子> <フィールドBの名前>

例

ネイティブフィールドを比較する

スピーカーとマイクの両方に同じ周辺機器を使用しないユーザーを特定します。

users
| collaboration.sessions を使用
| where participant_device.microphone != participant_device.speaker

ネイティブフィールドをコンテキストフィールドと比較する

デバイスが場所を変更したイベントをフィルタリングします

connection.events 過去7日間で
| where destination.country == context.location.country

ネイティブフィールドを計算されたメトリクスと比較する

実行クラッシュ後にCollectorの活動がないデバイスを特定します。

devices 過去7日間で
| 実行クラッシュを過去7日間に含める
| last_crash_time = time.last() を計算する
| where last_crash_time > last_seen

ネイティブフィールドを手動のカスタムフィールドと比較する

パッケージバージョンを手動のカスタムフィールドに格納された必要な準拠バージョンと比較します。

packages 
| where package.version == package.#required_version

複数の条件を使用する

and または or 演算子で区切られた複数のフィルタを使用して、より複雑な条件を適用します。 フィルタ内の条件は、優先順を保持するためにグループ化されています。 where 節をそれぞれ別の行に配置すると、複数の and 条件を持つ1つの where 節を作成した場合と同じ結果になります。

以下のクエリは、全く同じ結果を提供します。

devices 過去7日間で
| where device.entity == "Lausanne" and device.hardware.type == laptop

devices 過去7日間で
| where device.entity == "Lausanne" 
| where device.hardware.type == laptop