append
Описание
Добавляет данные полученные поиском внутри команды append к основным результатам.
Синтаксис
| append [ <subsearch> ] <subsearch-options>...
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
subsearch | [<subsearch>] | Запрос должен быть включен в квадратные скобки и начинаться с указания источника (source, script, makeresults и т.д.). |
Опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
maxtime | maxtime=60 | 60 секунд | Максимальное время выполнения запроса в секундах. |
maxout | maxout=1000 | 0 | Максимальное количество возвращаемых результатов. |
timeout | timeout=60 | 0 | Максимальное время выполнения запроса в секундах. |
Примеры запросов
Пример 1
В данном примере append добавляет к основным результатам отдельный набор строк, который формируется в подзапросе через stats count by user.
source accessLogs
| append
[ source cli:myDb.myUsersData:10
| stats count by user ]
Пример 2
В данном примере к уже отфильтрованным событиям из accessLogs добавляются результаты второго поиска по radius_logs.
source accessLogs qsize=1
| search user="aleksey" and message="Access granted"
| append
[ source radius_logs qsize=1
| search agent.id="5859c99d-8ac6-4adc-af94-a371d2a5cf28" and indextime >= "2020-11-12T14:18:28.038337Z" ]