参考:
https://qiita.com/smallpalace/items/a9329db15a6ca6eaf579
https://qiita.com/yoshiwatanabe/items/b981773b9a5775e4a0f8
サンプルコード
日付指定、検索文字列指定
traces
| where timestamp between(datetime("2024-07-09 01:00:00.000") .. datetime("2024-07-09 13:05:59.999")) // GMT表記なので、(検索したい日本時間-9時間)の値を入力する
| where message has "development" // 対象の文字列が含まれている行抽出
;
全体から検索
traces
| search "CORS" // 全カラム見て検索文字列が含まれている行抽出
;
関数の結果を出力
let now = now();
print now;
結果
"print_0 [ローカル時刻]"
"2024/7/11 14:09:47.812"
Tips: has vs contains
どちらも特定のカラム内の文字列を検索する。
公式は"has"を推奨
hasは検索対象の文字列が長い単語の一部である場合は結果を返さない
hasの方が高速
例:
検索文字列=ell
ログメッセージ=Hello world.
- containsの場合:
Hello world.が含まれる行を返す - hasの場合: 結果なし
そのためhasを使用する場合は独立した用語で検索すること