outputlookup
Описание
Записывает результат поиска в таблицу (или файл) с возможностью обновления или дополнения данных. Поддерживает настройку параметров для управления процессом записи и обновления.
Синтаксис
...| outputlookup <lookup-name> [append=<bool>] [keyfield=<string>] [packsize=<int>] [nores=<bool>]
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
lookup-name | <field> | Имя предопределенного lookup. |
Опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
append | append=<bool> | false | true — дополняет существующие данные, false — игнорирует существующие данные. |
keyfield | keyfield=<string> | Поле, по которому будут сопоставляться записи между таблицей (lookup) и исходными данными. Только документы с совпадающими значениями этого поля будут обновлены. | |
packsize | packsize=<int> | 100 | Определяет, сколько записей одновременно будет обновляться в таблице. Работает только в связке с keyfield. Используется для управления нагрузкой при обновлении большого объема данных. |
nores | nores=<boolean> | false | При значении true очищает результаты поиска после записи в справочник. |
Примеры запросов
Пример №1
source radius_logs
| outputlookup my_lookup
Пример №2
source internal_audit*
| aggs count, latest(audit_category) as audit_category by audit_node_host_address
| outputlookup hosts_categories keyfield=audit_node_host_address packsize=200 nores=true