where

Описание

Выполняет уточняющий поиск по полученным данным.

Синтаксис

where <boolean-condition> | <boolean-function> [AND | OR | NOT <boolean-condition> | <boolean-function>]

Обязательные аргументы

Параметр	Синтаксис	Описание
boolean-condition	<field> > | >= | == | < | <= | != <field> |<value>	Определяет условие сравнения. Сравнение может быть определено как поле <-> значение, так и поле <-> поле.
boolean-function	см. функции	Функции, возвращающие boolean.

Список доступных функций:

• cidrmatch
• in
• like
• match
• true
• false
• isbool
• isstr
• isnotnull
• isnull
• isnum

предупреждение

При сравнении с null результат всегда false. null == null (false).

Примеры запросов

Пример №1

... | where user == "Aleksey"

Пример №2

... | where bytes >= 8749

Пример №3

... | where bytes >= 8749 or ipaddr == "104.182.234.109"

Пример №4

... | eval myVal=if(conn_type == "vpn", true(), false())
    | where myVal == false()