Перейти к основному содержимому
Версия: 5.0

map

Описание

Выполняет поисковый запрос для каждого входящего события.

Синтаксис

map <subsearch> [<maxsearches>]

Обязательные аргументы

ПараметрСинтаксисОписание
<subsearch>[ subsearch ]Запрос должен быть включен в квадратные скобки и начинаться с указания источника (source, script, makeresults и т.д.).
к сведению

Поля, названия которых написаны в долларах ($<field>$), будут заменены на соответствующие значения из входных событий.

осторожно

Если название поля будет передано как строка (в двойных кавычках), то значение не будет подставлено.

Пример
...
| eval res = "$my_field$"

В данном примере $my_field$ не будет заменено на значение из входных данных.

Опциональные аргументы

ПараметрСинтаксисПо умолчаниюОписание
<maxsearches>maxsearches=<int>10Максимальное число поисковых запросов.
предупреждение

Значение maxsearches=0 не даст неограниченный поиск.

Примеры запросов

В первом примере будут выполнены подзапросы для первых трех событий из индекса math_logs, значение переменной res будет равно значению host_name во входном событии.

Пример №1
 source math_logs
 | map maxsearches=3
    [source tweets
    | eval res = $host_name$ ]
Пример №2
source math_logs
| map
    [source tweets
    | eval res = $host_name$ ]
| where res == "host121"
Пример №3
source tweets8 qsize=1
| map
    [source math_logs | eval res = mvcount($index$) ]