Verwenden des Suchoperators
Der Suchoperator ermöglicht die Suche mit mehreren Tabellen und Spalten. Auch wenn der Suchoperator einfach zu verwenden ist, ist er im Vergleich zum where-Operator ineffizient. Trotz dieser Ineffizienz können Sie über die Suche auch dann Daten finden, wenn Sie nicht wissen, welche Tabelle oder Spalte Sie filtern sollen.
Die erste Anweisung sucht in allen Tabellen nach „Fehler“. Die zweite Anweisung sucht nach „Fehler“ in den Tabellen „SecurityEvent“ und „SecurityAlert“ sowie in Tabellen, die mit „A“ beginnen.
Führen Sie jede Abfrage separat aus, um die Ergebnisse anzuzeigen.
Tipp
Bei der ersten Suchabfrage müssen Sie eventuell den Zeitbereich im Abfragefenster auf „Letzte Stunde“ einstellen, um einen Fehler zu vermeiden.
search "err"
search in (SecurityEvent,SecurityAlert,A*) "err"