简化示例
|按状态汇总event_count((|其中State匹配regex";K.*S";|其中event_count>10|项目状态,事件计数
输出:状态|事件计数
堪萨斯|3166阿肯色州|1028高级湖|34
在上面的示例中,执行搜索并将输出限制为正则表达式匹配时。相反,我希望能够排除正则表达式匹配的任何事件。在上面的例子中,这将等同于返回所有不匹配的事件";K.*S";。文献显示";包含"&"!包含";以及";具有"&"!具有";。。。但是我找不到一个";!匹配正则表达式";匹配正则表达式运算符。如何从正则表达式匹配的搜索中排除事件?换句话说,如何返回正则表达式不匹配的事件。这将帮助我从规则中筛选出任何假阳性警报。
我试过使用!包含运算符和!具有运算符,但当正则表达式过于复杂时,我还没有找到排除正则表达式之外的可靠方法。我的目标是从搜索中筛选出与正则表达式匹配的任何事件。
您可以使用not运算符。
您还应该将筛选器移到summarize语句之前
让我可视化基于Yoni的答案的查询:
| summarize event_count() by State | where event_count > 10 and not(State matches regex "K.*S") | project State, event_count