Форматирование результатов подзапроса

Oбщее описание

Команда format возвращает подстроку с логическими выражениями для использования в качестве фильтра в команде search. Если ваш подзапрос вернул таблицу, например:

                |    поле1    |     поле2   |
                -----------------------------
событие/строка1 | значение1_1 | значение1_2 |
событие/строка2 | значение2_1 | значение2_2 |

Команда format возвращает:

(поле1=значение1_1 AND поле2=значение1_2) OR (поле1=значение2_1 AND поле2=значение2_2)

Использование форматирования

Рассмотрим пример запроса

source winlog_auth
  | search host.name.keyword="JM-HEW-019"
  | table event.action, user.name

Ниже представлен результат работы данного запроса:

Теперь воспользуемся командой format и посмотрим на результат:

source winlog_auth
  | search host.name.keyword="JM-HEW-019"
  | table event.action, user.name
  | format

Команда format применяется к результатам запроса. В результате работы команды format будет подготовлено выражение для использования в другой части запроса. Как правило, команда format используется для подготовки данных к дальнейшему анализу, отображению или передаче в другую часть запроса.