как мне найти несколько текстов в Qradar AQL? функция IN работает только для IP-адреса. Я хочу искать как ниже, какие-либо альтернативные варианты?
ГДЕ URL НЕ НАЛИЧИЛСЯ ('% .com%', '% .net%')
Вы можете использовать следующий синтаксис:
select URL FROM events WHERE URL IS NOT NULL and URL NOT ILIKE ENUMERATION('%.com%')
Для получения дополнительной информации, пожалуйста, обратитесь к следующему руководству:
https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc/b_qradar_aql.pdf