机器数据分析平台

  • 机器数据分析平台 > 产品手册 > SPL参考手册 > where

    where

    最近更新时间:2019-09-02 20:58:24

    where 命令使用 eval 值表达式筛选搜索结果,返回表达式结果为 true 的结果。

    语法:

    where <eval-expression>

    参数说明:

    关于 eval-expression 支持的函数请参阅【eval 命令

    用法

    1.字段名称需用单引号括起;

    2.文本字符串需用双引号括起。

    3.使用 where 命令评估布尔表达式的顺序为:

    • 括号中的表达式
    • NOT 子句
    • AND 子句
    • OR 子句

    示例

    1.比较日志中两个字段的关系,返回 a 大于 b 的事件

    • | where a>b

    2.返回指标大于 100 的事件

    • | stats count() as cnt by a | where cnt > 100

    3.返回与IP匹配的事件

    • | where like(src, "10.9.165.%")
    以上内容是否对您有帮助?
  • Icon helper
    Icon free helper
    Close