Версия: 4.0

format

Описание

Преобразует результаты предыдущей части поискового запроса в логическое выражение для поиска.

Синтаксис

| format

Примеры запросов

Пример 1

Выводит все события active_directory с полем user, значения которых совпадают с значениями полей, подходящих под паттерн "Iv*" из индекса zabbix.

source active_directory | search [ source zabbix | search user="Iv*" | fields user | format]

Пример 2

Выводит все события users с полем id, который равен 3.

source users
| search
    [ | makeresults
    | eval id=round(pi())
    | fields id
    | format ]

Пример 3

В примере у индекса ad_computer поле distinguishedname имеет значение "CN=Иванов Иван,OU=Сотрудники, DC=vv,DC=local", после применение преобразований получим поле domainUser с значением "vv.local" и запрос выводит все события ad_users с полем domainUser с значением "vv.local".

source ad_users
| search
    [ source ad_computer
    | rex field=distinguishedname "DC=(?<DC>[a-z]*)" max_match=0
    | eval domainUser=mvjoin(DC, ".")
    | stats count by domainUser
    | fields domainUser
    | format ]

Описание​

Синтаксис​

Примеры запросов​

Пример 1​

Пример 2​

Пример 3​