source
Описание
Позволяет получить данные из источников.
Синтаксис
source <source-name> [source-options]
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
source-name | <string> | Для источника OpenSearch необходимо просто указать название индекс паттерна, для запроса данных из источников Hadoop или Clickhouse требуется префикс: hdh: или clk: соответственно. В данной ситуации указание размера выборки (qsize) допускается через : после префикса и названия источника. |
Примеры:
source sysmon_operational-*
source hdh:win_events
source clk:nix_events:1000
Допустим запрос сразу из нескольких источников с помощью их перечисления через запятую. По умолчанию в результате будет объединение данных по алгоритму команды append. Для использования механизмов внутреннего хранилища для объединения результатов см. опциональный аргумент append.
Пример:
source cisco_asa-*, clk:nix_events:1000
Опциональные аргументы
source-options- опциональные параметры, задающие дополнительные настройки поиска.
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
qsize | qsize=<int> | 1000000, при запросе через web-интерфейс 1000 | Максимальное количество выбираемых данных. |
timefield | timefield=<field> | @timestamp | Имя поля в котором хранится временная метка. |
append | append = <bool> | true | Режим объединения данных при запросе нескольких источников. При append = true используется алгоритм команды append, при append = false объединение выполняется при помощи внутенних механизмов хранилища. Примечания для append. |
earliest | earliest=<string> | Начальная временная метка поиска. | |
latest | latest=<string> | Конечная временная метка поиска. |
Для earliest и latest допустим следующий формат временных параметров: (+|-)<int>(s|m|h|d|w|month) | timestamp | unix-time:
- s/sec/secs/second/seconds - секунды
- m/min/mins/minute/minutes - минуты
- h/hr/hrs/hour/hours - часы
- d/day/days - дни
- w/week/weeks - недели
- mon/month/months - месяцы
Каждый источник может использовать собст�венные локальные параметры поиска, которые будут перегружать общие параметры. Для этого сам источник и его параметры должны быть написаны в скобках. См. Пример 4.
Примечания для append
- Использование параметра
append = falseвозможно только при запросе к OpenSearch. - Параметр
appendдолжен быть глобальным. - При
append = falseучитываются только глобальные параметры поиска.
Примеры запросов
Пример 1
source ldap_users-* timefield=event_time
Пример 2
source hdh:nix_events, ldap_computers-* qsize=1000 earliest=-2d latest=1649344240
Пример 3
В данном примере объединение данных выполняется при помощи OpenSearch
source sysmon_operational-*, zabbix-* qsize = 150 append = false
Пример 4
В данном примере при запросе данных из индекса server_warnings используются локальные параметры, поэтому qsize и временные границы будут отличаться от запроса к winevent и zabbix. Параметр timefield не указан в локальных параметрах, поэтому для запроса к server_warnings будет использоваться значение из глобальных параметров.
source (server_warnings:10 earliest="now-10m" latest="now-5m"),
winevent, zabbix timefield=@timestamp earliest="now-1d" latest="now" qsize = 100