Использование подзапросов
Применение подзапроса для поиска
Ниже представлен запрос, который осуществляет поиск событий входа и выхода в источнике данных winlog_auth
, а затем выводит результаты в виде таблицы с указанием типа действия, имени пользователя и временной метки события.
source winlog_auth
| search
[ source winlog_auth
| search (event.action.keyword="logged-out" OR event.action.keyword="logged-in")
| table event.action.keyword, user.name
| format ]
| stats values(user.name) by event.action
source winlog_auth
: Указывает, что мы хотим проанализировать данные из источникаwinlog_auth
.| search [source winlog_auth | search (event.action.keyword="logged-out" OR event.action.keyword="logged-in") | table event.action.keyword, user.name | format ]
: Это подзапрос, который фильтрует данные, чтобы оставить только события входа и выхода. Затем он выводит только два поля: действиеevent.action.keyword
и имя пользователяuser.name
. Результаты подзапроса форматируются с помощью командыformat
, чтобы их можно было использовать во внешнем запросе.| stats values(user.name) by event.action
: В этой части запроса мы используем команду stats, чтобы агрегировать данные. Мы группируем результаты по действию (вход или выход) и для каждого действия находим все соответствующие имена пользователей. Это позволяет нам увидеть, какие пользователи выполняли каждое действие.