使用搜尋運算子
搜尋運算子可提供多資料表/多資料行搜尋體驗。 雖然搜尋運算子相當容易使用,但與 where 運算子相較之下卻顯得效率不佳。 即便如此效率不佳,在不確定要篩選何種資料表或資料行時,還是可以使用搜尋來尋找資料。
第一個陳述式會在所有資料表中搜尋 "err"。 第二個陳述式會在資料表 SecurityEvent、SecurityAlert 和以 A 開頭的資料表中搜尋 "err"。
分別試用這些查詢以查看結果。
提示
針對第一個搜尋查詢,您可能需要在查詢視窗中將時間範圍調整為「前一個小時」以避免發生錯誤。
search "err"
search in (SecurityEvent,SecurityAlert,A*) "err"