where
Описание
Выполняет уточняющий поиск по полученным данным.
Синтаксис
where <boolean-condition> | <boolean-function> [AND | OR | NOT <boolean-condition> | <boolean-function>]
Обязательные аргументы
Параметр | Синтаксис | Описание |
---|---|---|
boolean-condition | <field> > | >= | == | < | <= | != <field> |<value> | Определяет условие сравнения. Сравнение может быть определено как поле <-> значение , так и поле <-> поле . |
boolean-function | см. функции | Функции, возвращающие boolean . |
Список доступных функций:
предупреждение
При сравнении с null
результат всегда false
. null == null
(false
).
Примеры запросов
Пример №1
... | where user == "Aleksey"
Пример №2
... | where bytes >= 8749
Пример №3
... | where bytes >= 8749 or ipaddr == "104.182.234.109"
Пример №4
... | eval myVal=if(conn_type == "vpn", true(), false())
| where myVal == false()