我还没有收到 Sentinel 中特定列的数据(我们称之为 A 列)。
我现在想创建一个分析规则,当我收到包含此行 A 的实例时将触发警报。
mytable
| where notempty(A)
但是,这会出错,因为它说(并且它是正确的)该列不存在。
是否有其他运算符可以使用,或者我是否必须发送包含该行的示例数据实例才能将其添加到mytable表中?
问问题
21 次
我还没有收到 Sentinel 中特定列的数据(我们称之为 A 列)。
我现在想创建一个分析规则,当我收到包含此行 A 的实例时将触发警报。
mytable
| where notempty(A)
但是,这会出错,因为它说(并且它是正确的)该列不存在。
是否有其他运算符可以使用,或者我是否必须发送包含该行的示例数据实例才能将其添加到mytable表中?