Базовые команды поискового языка
Основой поискового запроса в Smart Monitor Language являются команды source и search.
Команда source
Позволяет получить данные из источников в SM Data Storage (OpenSearch, ClickHouse, Apache Hadoop). По умолчанию используется хранилище OpenSearch, для которого при поиске необходимо указать название индекс паттерна. Для получения данных по хранилищам Hadoop или ClickHouse требуется префикс: hdh: или clk: соответственно. Примеры запросов представлены ниже:
source hdh:win_events
source clk:nix_events
source cisco_asa
В Smart Monitor есть возможность получения данных из нескольких хранилищ одновременно:
source cisco_asa, clk:nix_events
Для ограничения выборки запрашиваемых данных можно воспользоваться аргументом qsize. Допускается указать через двоиточее после префикса и названия источника. Например:
source zabbix qsize = 150
source clk:nix_events:1000
source hdh:nix_events, ldap_computers qsize=1000
Команда search
Выполняет поиск по данным и используется после команды source, так как фильтрует данные, используя механизмы SM Data Storage.
source hdh:win_events
| search user="Ivanov" OR user="Mar*"
Имеет три режима поиска:
regex- поиск по регулярному выражениюwildcard- поиск с использованием подстановочных символов*и?cidr- поиск по маске подсети
По умолчанию - wildcard. Примеры поисков приведены ниже:
... | search regex place="(Ho|Mo)tel"
... | search wildcard name="An*li?"
... | search cidr host="10.78.0.0/16"
Составление поискового запроса
Используйте ключевые слова, фразы, поля, логические выражения, Wildcards и выражения сравнения, чтобы точно указать, какие события вы хотите получить. Поисковый запрос извлекает события путем сопоставления с полями событий в ваших данных. При поиске пути к файлу, необходимо экранировать символы обратной косой черты в пути, например D:\\SmartMonitor\\RTFM
Для информации по использованию поиска стоит обратить внимание на разделы: