У меня есть запрос ниже.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC"
Оно работает. Однако я бы хотел, чтобы в выводе отображались все URL-адреса с ABC внутри, я просто не хочу, чтобы в них отображались результаты с ABCD.
Есть идеи, как я могу это сделать? Я пробовал следующее, но это не удалось.
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND FullURL!="*ABCD*"
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" AND NOT FullURL="*ABCD*"
Этот запрос может помочь:
index=myindex sourcetype="application:access:log" host=myservers* FullURL="*/ABC" | where NOT LIKE (FullURL="%ABCD%")