addinfo
Описание
Добавляет к каждой записи поля, которые содержат общую информацию о поиске: начальная и конечная временная граница поиска, время начала выполнения поиска и его ID.
Синтаксис
| addinfo
| Поле | Описание |
|---|---|
info_min_time | Начальная временная граница поиска. |
info_max_time | Конечная временная граница поиска. |
info_search_time | Время начала поиска. |
info_sid | ID поиска. |
Использование команды в запросах планировщика задач
Поля info_max_time и info_min_time, возвращаемые командой addinfo, интерпретируются по-разному:
Стандартный запрос: Возвращаются абсолютные временные метки (UTC), указывающие на фактические временные рамки поискового запроса.
info_max_time 2025-09-08T14:13:41Z
info_min_time 2025-09-07T14:13:41Z
info_search_time 2025-09-08T14:13:41.439Z
Запрос в Планировщике задач: Поля содержат относительные временные метки.
info_max_time now
info_min_time now-15m
info_search_time 2025-09-08 17:08:02 +03:00
Примеры запросов
Пример 1
В минимальном варианте команда добавляет к каждому событию служебные поля info_min_time, info_max_time, info_search_time и info_sid.
source server_warnings
| addinfo
Пример 2
В данном примере служебные временные поля сразу переименовываются в более короткие поля start и end.
source server_warnings
| addinfo
| rename info_min_time as start, info_max_time as end
Пример 3
В данном примере значения из info_min_time и info_max_time копируются в новые поля через eval.
source server_warnings
| addinfo
| eval start = info_min_time, end = info_max_time