如何将以下 Splunk 查询转换为 Kusto Pls
| eval result=if(Match(Status,"Success|Passed"), "succeeded","failed")
我在 Kusto 中尝试使用下面的方法,但它不起作用
| extend result = case(Status matches regex ("Success", "Passed"), "succeeded", "failed")
谢谢。
问问题
56 次
1 回答
2
你可以试试这个:
T
| extend result = case(Status contains "Success" or Status contains "Passed", "succeeded", "failed")
如果已知“Success”和“Passed”是源数据中的术语,则应将“contains”替换为“has”;和 id 已知它们是整个字符串,您可以改用“in()”或“in~()”。
请参阅:https ://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/datatypes-string-operators
于 2021-12-02T06:01:37.383 回答