inputlookup
Описание
Извлекает данные из справочника.
Синтаксис
| inputlookup <lookup-name> [max=<int>] [system=<boolean>]
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
lookup-name | <lookup-name> | Имя предопределенного lookup. |
Опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
max | max=<int> | Integer.MAX (2147483647) | Максимальное количество событий для поиска. |
system | system=<boolean> | false | При значении true запрашивается системный лукап, в противном случае пользовательский. |
Примеры запросов
Пример 1
В данном примере команда читает данные из системного справочника my_lookup.
| inputlookup my_lookup system=true
Пример 2
В данном примере параметр max=2 ограничивает количество возвращаемых строк двумя записями.
| inputlookup my_lookup max=2
Пример 3
В данном примере содержимое справочника сначала загружается через inputlookup, а затем агрегируется командой aggs.
| inputlookup my_lookup | aggs count(geo_ip) as ip