match
к сведению
Данные нововведения работают начиная с версии 5.3.1.
Описание
Фильтрует данные из источника по значениям поля из стороннего индекса. Если указать OUTPUT или OUTPUTNEW, то событие будет обогащено указанными полями.
Команда выполняет сравнение заданного поля в событии и match-индексе. Для данных match-индекса есть поддержка поиска по wildcard, если данные содержат подстановочные символы * и ?.
Обратите внимание!
Следует избегать использования дублирующих данных в полях для match-индекса.
Синтаксис
...| match <match-index-name> <match-field> [as <source-field>] [match-options] [ OUTPUT | OUTPUTNEW (<match-destfield> [as <event-destfield>] )... ]
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
match-index-name | <string> | Имя индекса для построения match. |
match-field | <string> | Поля для построения match подзапроса. |
Опциональные аргументы match-options
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
packsize | packsize=<int> | 500 | Размер блока данных для обработки. |
workers | workers=<int> | 8 | Количество потоков для обработки данных. |
timefield | timefield=<field> | @timestamp | Имя поля, в котором хранится временная метка. |
earliest | earliest=<string> | Начальная временная метка поиска. | |
latest | latest=<string> | Конечная временная метка поиска. |
Остальные опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
source-field | <string> | Имя поля в основном результате для сравнения с match-field. Используется в случае, если названия match-field и source-field не совпадают. | |
OUTPUT | OUTPUTNEW | OUTPUT | OUTPUTNEW | OUTPUT | Индикатор OUTPUT указывает, на то, что существующие данные в поле исходного запроса будут перезаписаны данными из match. Индикатор OUTPUTNEW указывает на то, что данные в поле исходного запроса будут перезаписаны, если поле не заполнено, но есть данные для этого поля в match. |
match-destfield | <string> | Имя результирующего поля с полученными из справочника данными. |
Примеры запросов
Пример №1
source data
| match filter_data_index @timestamp packsize=2048
Пример №2
source internal_audit*
| match audit_category_lookup audit_category packsize=2048 workers=32 OUTPUT audit_request_effective_user