Перейти к основному содержимому
Версия: 3.2

Базовые команды поискового языка

Основой поискового запроса в Smart Monitor Language являются команды source и search.

Команда source

Позволяет получить данные из источников в SM Data Storage (OpenSearch, ClickHouse, Apache Hadoop). По умолчанию используется хранилище OpenSearch, для которого при поиске необходимо указать название индекс паттерна. Для получения данных по хранилищам Hadoop или ClickHouse требуется префикс: hdh: или clk: соответственно. Примеры запросов представлены ниже:

source hdh:win_events
source clk:nix_events
source cisco_asa

В Smart Monitor есть возможность получения данных из нескольких хранилищ одновременно:

source cisco_asa, clk:nix_events

Для ограничения выборки запрашиваемых данных можно воспользоваться аргументом qsize. Допускается указать через двоиточее после префикса и названия источника. Например:

source zabbix qsize = 150
source clk:nix_events:1000
source hdh:nix_events, ldap_computers qsize=1000

Выполняет поиск по данным и используется после команды source, так как фильтрует данные, используя механизмы SM Data Storage.

source hdh:win_events 
| search user="Ivanov" OR user="Mar*"

Имеет три режима поиска:

  • regex - поиск по регулярному выражению
  • wildcard - поиск с использованием подстановочных символов * и ?
  • cidr - поиск по маске подсети

По умолчанию - wildcard. Примеры поисков приведены ниже:

... | search regex place="(Ho|Mo)tel"
... | search wildcard name="An*li?"
... | search cidr host="10.78.0.0/16"

Составление поискового запроса

Используйте ключевые слова, фразы, поля, логические выражения, Wildcards и выражения сравнения, чтобы точно указать, какие события вы хотите получить. Поисковый запрос извлекает события путем сопоставления с полями событий в ваших данных. При поиске пути к файлу, необходимо экранировать символы обратной косой черты в пути, например D:\\SmartMonitor\\RTFM

Для информации по использованию поиска стоит обратить внимание на разделы: