Перейти к основному содержимому
Версия: 3.2

map

Описание

Выполняет поиск для каждого входящего события.

Синтаксис

map <subsearch> [<maxsearches>]

Обязательные аргументы

ПараметрСинтаксисОписание
<subsearch>[ subsearch ]Запрос должен быть включен в квадратные скобки и начинаться с указания источника (source, script, makeresults и т.д.).
к сведению

Поля, названия которых написаны в долларах ($<field>$), будут заменены на соответствующие значения из входных событий.

Опциональные аргументы

ПараметрСинтаксисПо умолчаниюОписание
<maxsearches>maxsearches=<int>10Максимальное число поисковых запросов.
предупреждение

Значение maxsearches=0 не даст неограниченный поиск.

Примеры запросов

В первом примере будут выполнены подзапросы для первых трех событий из индекса math_logs, значение переменной res будет равно значению host_name во входном событии.

Пример №1
 source math_logs 
| map maxsearches=3
[source tweets
| eval res = $host_name$ ]
Пример №2
source math_logs 
| map
[source tweets
| eval res = $host_name$ ]
| where res == "host121"
Пример №3
source tweets8 qsize=1 
| map
[source math_logs | eval res = mvcount($index$) ]