Операторы сравнения
Smart Monitor при обработке данных извлекает пары "ключ-значение" и сохраняет их как поля событий. Некоторые поля присутствуют во всех событиях, другие - нет. Включение полей в поисковый запрос позволяет более точно находить нужные события.
Допустим, что необходимо найти события выхода из системы в журналах Windows. Вместо поиска "event logged-out 4647" можно использовать поля для более точного запроса:
event.code=4647
Использование операторов сравнения для поиска значений
Операторы сравнения позволяют искать события, где значения полей соответствуют заданным критериям. Можно как точные совпадения, так и диапазоны значений.
| Оператор | Пример | Результат |
|---|---|---|
= | field=value | Значение поля field равно значению value. |
!= | field!=value | Значение поля field не равно значению value. |
< | field<value | Числовое значение поля field меньше числового значения value. |
> | field>value | Числовое значение поля field больше числового значения value. |
<= | field=value | Числовое значение поля field меньше или равно числовому значению value. |
>= | field=value | Числовое значение поля field больше или равно числовому значению value. |
Например, чтобы найти события, у которых поле count больше 10:
count > 10
Использование кавычек
При поиске по значениям, которые потенциально могут содержать специальные символы, необходимо заключать их в двойные кавычки (").
Примерами спецсимволов могут являться пробелы, запятые, прямая черта (pipe), квадратные скобки и символы сравнений. Для поиска по ключевым словам как AND, OR и NOT также следует использовать двойные кавычки.
Примеры поиска по ключевым словам
При поиске данных в Smart Monitor могут существовать значения полей, которые совпадают с операторами и ключевыми словами языка запросов SML (Smart Monitor Language), такими как AS, AND, IN и OR.
country="IN"чтобы найти страну Индияapp="AS"чтобы найти приложение с аббревиатурой "Автономная система" (Autonomous System)iso="AND"чтобы найти код страны Андорраmetric="OR"чтобы найти метрику с аббревиатурой "Риск Владельца" (Owner's Risk)
Чтобы искать именно по значению поля, а не по оператору, необходимо заключить данное значение в двойные кавычки ("):
country="IN"