我想评估一个状态代码字段,其中状态是彼此或多个。 打击仅适用于 200.
| eval status = coalesce(status, $error.status$)
| where status = 200
我想做类似的事情。
| where status = 200 OR 201
有几种方法可以做到这一点。
| eval status = coalesce(status, $error.status$)
| where (status = 200 OR status = 201)
| eval status = coalesce(status, $error.status$)
| where in(status, 200, 201)