メインコンテンツまでスキップ
Sumo Logic Japanese

toLowerCase と toUpperCase

toLowerCase operator は、文字列を取って、その文字をすべて小文字に変換します。toUpperCase operator は、文字列を取って、その文字をすべて大文字に変換します。

これらの operator は、Windows のイベント ログなど、Source ログで大文字と小文字の使い方が統一されていない場合に大文字や小文字に統一したり、ファイル名やパスがすべての小文字でなければならないファイル システムで小文字に統一したりするのに便利です。条件やグループ化を含むクエリでは、検索結果のグループ数を減らすことができるため、非常に便利です。

構文

  • toLowerCase(<string>) [as <field>]
  • toUpperCase(<string>) [as <field>]

ルール

  • 文字列以外のフィールドはサポートされません。

toUpperCase と conditional operator の併用

次のクエリでは、一致したすべての _sourceHost をすべて大文字にして返します。

_sourceCategory=service OR _sourceCategory=search 
| toUpperCase(_sourceHost) as _sourceHost 
| where _sourceHost matches "NITE*"

結果は次のようになります。

同等条件での toLowerCase または toUpperCase の使用

toLowerCase と toUpperCase は、Sumo で等号 (=) や不等号 (!=) を使用する場合に便利です。Sumo Logic では、これらの条件で大文字と小文字を区別します。以下の例では、toLowerCase を使用してハッシュ値を小文字に変換してからルックアップを実行しています。 

*
| limit 1
| toLowerCase ("B101CD29E18A515753409AE86CE68A4CEDBE0D640D385EB24B9BBB69CF8186AE") as hash
| count hash
| fields -_count
| lookup raw from sumo://threat/cs on threat = hash{code}

toUpperCase と count operator の併用

次のクエリでは、一致したしたすべての _sourceHost の値をすべて大文字にして、count operator によるカウントと共に返します。

_sourceCategory=service OR _sourceCategory=search 
| toUpperCase(_sourceHost) as _sourceHost 
| count by _sourceHost

結果は次のようになります。

ユーザ名を見つけて小文字に変換

このクエリは、Source Category でユーザ名を検索し、名前の入力状況に関係なく小文字に変換します。

_sourceCategory=OS/Linux/Security
| parse "user=* " as username
| toLowerCase(username) as username
| where username matches "*joe smith*"

  • この記事は役に立ちましたか?