Перейти к основному содержимому
Версия: 5.0

search

Описание

Выполняет поиск по данным.

осторожно

Использование search в запросе допустимо в случае, если перед ней находятся только команды, также работающие с внутренними механизмами хранилища. К ним относятся source и peval. Это условие должно выполняться и для всех подзапросов в запросе.

Синтаксис

search <compare>

Обязательные аргументы

ПараметрСинтаксисОписание
compare<field> > | >= | == | < | <= | != <field> | <value> | <search_in>Условная операция для сравнения данных.

Режим поиска

  • regex - поиск по регулярному выражению
  • wildcard - поиск с использованием подстановочных символов * и ?
  • cidr - поиск по маске подсети
подсказка

Если между условиями нет оператора, то по умолчанию используется оператор AND.

Значение (<value>) можно указывать без двойных кавычек, если в нем нет разделителей или специальных символов.

Search in

СинтаксисОписание
<field> in (<value>, <value>)Конструкция search in позволяет выполнять поиск событий, значение поля <field> которых равно одному из перечисленных значений <value>.
подсказка

В значениях <value> можно использовать * для wildcard поиска.

Примеры запросов

Пример №1
...
| search user=Ivanov OR user="Mar*"
Пример №2
...
| search count_result=5 AND nick="Iv*" mail="iv*"
Пример №3
...
| search regex place="(Ho|Mo)tel"
Пример №4
...
| search wildcard name="An*li?"
Пример №5
...
| search cidr host="10.78.0.0/16"
Пример №6
...
| search cidr host="2001::/4"
Пример №7
...
| search user in (Ivanov, "Mar*")