Partager via


has_any_ipv4_prefix()

S’applique à : ✅Microsoft Fabric✅Azure Data ExplorerAzure MonitorMicrosoft Sentinel

Retourne une valeur booléenne indiquant si l’un des préfixes d’adresse IPv4 spécifiés apparaît dans un texte.

Les entrées d’adresse IP dans un texte doivent être correctement délimitées par des caractères non alphanumériques. Par exemple, les adresses IP correctement délimitées sont les suivantes :

  • « Ces demandes proviennent de : 192.168.1.1, 10.1.1.115 et 10.1.1.201 »
  • « 05:04:54 127.0.0.1 GET /favicon.ico 404 »

Astuces pour les performances

Remarque

Lorsque plus de 128 termes de recherche sont utilisés, l’optimisation de la recherche d’index de texte est désactivée, ce qui peut entraîner une réduction des performances des requêtes.

Syntaxe

has_any_ipv4_prefix(source , ip_address_prefix [, ip_address_prefix_2, ...])

En savoir plus sur les conventions de syntaxe.

Paramètres

Nom Type Requise Description
source string ✔️ Valeur à rechercher.
ip_address_prefix chaîne ou dynamique ✔️ Préfixe d’adresse IP ou tableau de préfixes d’adresses IP pour lesquels effectuer une recherche. Un préfixe d’adresse IP valide est une adresse IPv4 complète, telle que 192.168.1.11, ou son préfixe se terminant par un point, tel que 192., 192.168. ou 192.168.1..

Retours

true si l’un des préfixes d’adresses IP spécifiés est un préfixe d’adresse IPv4 valide et qu’il a été trouvé dans la source. Sinon, la fonction retourne false.

Exemples

Adresses IP sous forme de liste de chaînes

print result=has_any_ipv4_prefix('05:04:54 127.0.0.1 GET /favicon.ico 404', '127.0.', '192.168.') // true

result
true

Adresses IP en tant que tableau dynamique

print result=has_any_ipv4_prefix('05:04:54 127.0.0.1 GET /favicon.ico 404', dynamic(["127.0.", "192.168."]))
result
true

Préfixe IPv4 non valide

print result=has_any_ipv4_prefix('05:04:54 127.0.0.1 GET /favicon.ico 404', '127.0')
result
false

Adresse IP incorrectement déliminé

print result=has_any_ipv4_prefix('05:04:54127.0.0.1 GET /favicon.ico 404', '127.0.', '192.')
result
false