Перейти к основному содержимому
Версия: 4.3

Общая информация по работе с поиском

Основы построения поискового запроса

Структура поискового запроса

Поисковые запросы строятся на базе языка запросов Smart Monitor Language (далее - SML), который имеет встроенный функционал, помогающий создавать, анализировать и управлять полученными результатами.

Запросы в Smart Monitor используют ключевые слова и операторы, образуя цепочку операций для извлечения, фильтрации, агрегации и анализа данных. Основными элементами запроса являются ключевые слова, операторы и функции.

Использование ключевых слов и операторов

  1. Ключевые слова для начала поиска

    • search: Это ключевое слово используется для начала поиска данных в индексах. Оно определяет область поиска, после которой следует шаблон запроса.
    • |: Этот оператор, известный как "pipe" или "pipe character", используется для объединения нескольких операций в запросе. Он передает результаты одной операции в качестве входных данных для следующей.

  2. Операторы для фильтрации и сортировки данных

    • where: Оператор where применяется для фильтрации строк, удовлетворяющих определенному условию.
    • eval: Этот оператор используется для вычисления новых полей на основе существующих данных или для преобразования значений в существующих полях.
    • sort: Оператор sort используется для сортировки результатов запроса по определенным полям.

  3. Функции агрегации для обобщения результатов

    • stats: Функция stats используется для агрегации данных и вычисления статистических показателей, таких как сумма, среднее значение, количество и др.
    • aggs: Функция aggs позволяет выполнять более сложные и мощные агрегации данных с использованием различных функций, таких как avg, sum, count и других. Она обычно используется в сочетании с оператором by, чтобы группировать данные по определенным полям и применять агрегацию к каждой группе.
    • timechart: Эта функция используется для агрегации данных по времени и создания временных графиков или таблиц.

Более подробно о всех командах языка SML можно в разделе Smart Monitor Language.

Фильтрация данных в Smart Monitor

  1. Фильтрация по времени

    • Временные фильтры позволяют ограничить результаты запроса по времени, что особенно важно для анализа данных, записанных в определенный период.

  2. Фильтрация по значениям полей

    • Условия фильтрации могут быть применены к определенным полям данных, чтобы извлечь только строки, удовлетворяющие заданным критериям.

    Пример:

    source wineventlog
    | search status="error"

  3. Использование условий для точной фильтрации

    • Smart Monitor поддерживает использование операторов, таких как AND, OR и NOT, для создания более сложных условий фильтрации, позволяющих точно определить нужные данные.

    Пример:

    source wineventlog
    | search status="error" AND host.ip != "172.19.0.101"

Инструменты поиска: Повышение эффективности

Форматирование запроса

Встроенный механизм форматирования упрощает работу с SML. Более подробно с этим механизмом можно ознакомиться в разделе Форматирования запроса.

Добавление комментариев

Комментарии помогают изолировать, а также выделить и объяснить отдельные части запроса. Более подробно о возможностях использования комментариев в Smart Monitor можно узнать в разделе Добавление комментариев.

История поиска

История поиска обеспечивает сохранение ранее выполненных запросов. Более подробно об использовании данного функционала платформы можно узнать в разделе История поиска.