NQL比較演算子
比較演算子を NQL条件 節と共に使用して、NQLクエリ結果をフィルタリングします。
== または =
等しい
文字列
int
float
ブール値
日付時間
列挙
長さ
IPアドレス
バージョン
| where user.name = "jdoe@kanopy"
| where user.name == "jdoe@kanopy"
!=
等しくない
文字列
int
float
ブール値
日付時間
列挙
長さ
IPアドレス
バージョン
| where hardware_manufacturer != "VMWare"
| where hardware_manufacturer != null
>
より大きい
int
float
長さ
バイト
IPアドレス
バージョン
| where hardware.memory > 8GB
<
より小さい
int
float
長さ
バイト
IPアドレス
バージョン
| where hardware.memory < 16GB
>=
以上
int
float
日付時間
長さ
バイト
IPアドレス
バージョン
| where hardware.memory >= 8GB
<=
以下
int
float
日付時間
長さ
バイト
IPアドレス
バージョン
| where hardware.memory <= 16GB
サポートされているデータについての詳細は、NQLデータ型 を参照してください。
これらの演算子と組み合わせて使用されるすべての式は大文字小文字が区別されません。 例えば、次のクエリは同じ結果を返します:
過去24時間以内のデバイス
| where name == "CORPSYS2022"過去24時間以内のデバイス
| 条件 name == "CoRpSyS2022"ワイルドカードの使用
ワイルドカードを使用して、部分一致を行い、フィルターの柔軟性を高めます。 比較演算子と組み合わせて使用される式は、以下のワイルドカード文字をサポートしています。
*
任意の文字列を置き換えます
| 条件 application.name = "Microsoft*"
"Microsoft" から始まるアプリケーション名を返します
| 条件 application.name = "*Microsoft*"
"Microsoft" を含むアプリケーション名を返します
?
任意の1文字を置き換えます
| 条件 device.operating_system.name == "Windows 1?"
Windows 10やWindows 11のように、バージョンが10以上のオペレーティングシステム名を返します。
...
Last updated
Was this helpful?