NQLデータ型

データタイプは、フィールドに格納される値の属性です。これは、フィールドがどの種類のデータを格納できるかを決定します。

where句を使用してNQLクエリに条件を適用する際には、比較することができるのは同じデータタイプの値のみであり、これは値の形式に反映されます。

例えば、次のクエリでは：

最初のwhere句では、文字列データタイプの値を比較します。その結果、比較値はその文字列性を示すために引用符で囲まれます。
2番目のwhere句ではバージョンを比較します。ここでは、比較値は'v'で始まり、複数のポイントを含むことでバージョン番号を表しています。
最後のwhere句では整数を比較します。この場合、比較値は追加の文字なしで単独の数字として表現されます。

devices during past 1d
| include execution.crashes during past 1d
| where application.name == "Microsoft 365: Teams"
| where binary.version == v1.7.0.1864
| compute number_of_crashes_ = number_of_crashes.sum()
| where number_of_crashes_ >= 3

NQLデータモデルには以下のデータタイプが存在します：

データタイプ

有効な演算子

定義

値の例

string

== または =

!=

in

!in

テキストの文字列

"abc" または 'abc'

int

=

!=

<

>

<=

>=

in

!in

整数

10

float

=

!=

<

>

<=

>=

浮動小数点数

10.1

Boolean

=

!=

真または偽の値

true

false

日付時間

=

!=

<=

>=

時間を伴う日付

2024-07-15 10:15:00

列挙

=

!=

名前付きの物のセット

例えば red blue white

status == red

バイト

<

>

<=

>=

バイト数

(単位の付いたint)

100B

200KB

3MB

12GB

2TB

継続時間

=

!=

<

>

<=

>=

時間単位での継続時間

(単位の付いたint)

5ms

10s

4min

3h

2d

IPアドレス

=

!=

IPv4またはIPv6アドレス

オプションのマスク付き

123.123.0.0

123.123.0.0/24

f164:b28c:84a5:9dd3:ef21:8c9d:d3ef:218c

f164:b28c:84a5:9dd3::/32

バージョン

<

>

<=

>=

==

!=

.で区切られた数値のセット

v12.212

v1.2.5.9

v13.5.10

v2022.6

v1.2.4125

v6.8.9.7.6.5.4.3

文字列配列

contains

!contains

文字列の配列

例えば ['abc', 'def', 'xyz']

tags contains "abc"

tags !contains "*xyz"

Last updated 29 days ago