map
Описание
Выполняет поисковый запрос для каждого входящего события.
Синтаксис
map <subsearch> [<maxsearches>]
Обязательные аргументы
Параметр | Синтаксис | Описание |
---|---|---|
<subsearch> | [ subsearch ] | Запрос должен быть включен в квадратные скобки и начинаться с указания источника (source, script, makeresults и т.д.). |
к сведению
Поля, названия которых написаны в долларах ($<field>$)
, будут заменены на соответствующие значения из входных событий.
осторожно
Если название поля будет передано как строка (в двойных кавычках), то значение не будет подставлено.
Пример
...
| eval res = "$my_field$"
В данном примере $my_field$
не будет заменено на значение из входных данных.
Опциональные аргументы
Параметр | Синтаксис | По умолчанию | Описание |
---|---|---|---|
<maxsearches> | maxsearches=<int> | 10 | Максимальное число поисковых запросов. |
предупреждение
Значение maxsearches=0
не даст неограниченный поиск.
Примеры запросов
В первом примере будут выполнены подзапросы для первых трех событий из индекса math_logs, значение переменной res будет равно значению host_name во входном событии.
Пример №1
source math_logs
| map maxsearches=3
[source tweets
| eval res = $host_name$ ]
Пример №2
source math_logs
| map
[source tweets
| eval res = $host_name$ ]
| where res == "host121"
Пример №3
source tweets8 qsize=1
| map
[source math_logs | eval res = mvcount($index$) ]