Перейти к основному содержимому
Версия: 4.2

Операторы сравнения

Smart Monitor при обработке данных извлекает пары "ключ-значение" и сохраняет их как поля событий. Некоторые поля присутствуют во всех событиях, другие - нет. Включение полей в поисковый запрос позволяет более точно находить нужные события.

Допустим, что необходимо найти события выхода из системы в журналах Windows. Вместо поиска "event logged-out 4647" можно использовать поля для более точного запроса:

event.code=4647

Использование операторов сравнения для поиска значений

Операторы сравнения позволяют искать события, где значения полей соответствуют заданным критериям. Можно как точные совпадения, так и диапазоны значений.

ОператорПримерРезультат
=field=valueЗначение поля field равно значению value.
!=field!=valueЗначение поля field не равно значению value.
<field<valueЧисловое значение поля field меньше числового значения value.
>field>valueЧисловое значение поля field больше числового значения value.
<=field=valueЧисловое значение поля field меньше или равно числовому значению value.
>=field=valueЧисловое значение поля field больше или равно числовому значению value.

Например, чтобы найти события, у которых поле count больше 10:

count > 10

Использование кавычек

При поиске по значениям, которые потенциально могут содержать специальные символы, необходимо заключать их в двойные кавычки (").

Примерами спецсимволов могут являться пробелы, запятые, прямая черта (pipe), квадратные скобки и символы сравнений. Для поиска по ключевым словам как AND, OR и NOT также следует использовать двойные кавычки.

Примеры поиска по ключевым словам

При поиске данных в Smart Monitor могут существовать значения полей, которые совпадают с операторами и ключевыми словами языка запросов SML (Smart Monitor Language), такими как AS, AND, IN и OR.

  • country="IN" чтобы найти страну Индия
  • app="AS" чтобы найти приложение с аббревиатурой "Автономная система" (Autonomous System)
  • iso="AND" чтобы найти код страны Андорра
  • metric="OR" чтобы найти метрику с аббревиатурой "Риск Владельца" (Owner's Risk)

Чтобы искать именно по значению поля, а не по оператору, необходимо заключить данное значение в двойные кавычки ("):

country="IN"