机器数据分析平台

  • 机器数据分析平台 > 产品手册 > SPL参考手册 > 字段处理 >where

    where

    最近更新时间:2020-02-22 22:09:56

    where 命令使用 eval 值表达式筛选搜索结果,返回表达式结果为 true 的结果。

    语法:

    where <eval-expression>

    参数说明:

    关于 eval-expression 支持的函数请参阅【eval 命令

    示例

    1.比较日志中两个字段的关系,返回 a 大于 b 的事件

    • | where a>b

    2.返回指标大于 100 的事件

    • | stats count() as cnt by a | where cnt > 100

    3.返回与IP匹配的事件

    • | where like(src, "10.9.165.%")
    以上内容是否对您有帮助?
  • Icon free helper
    Close