search
Описание
Выполняет поиск по данным.
осторожно
Использование search в запросе допустимо в случае, если перед ней находятся только команды, также работающие с внутренними механизмами хранилища. К ним относятся source и peval. Это условие должно выполняться и для всех подзапросов в запросе.
Синтаксис
search <compare>
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
compare | <field> > | >= | == | < | <= | != <field> | <value> | <search_in> | Условная операция для сравнения данных. |
Режим поиска
regex- поиск по регулярному выражениюwildcard- поиск с использованием подстановочных символов*и?cidr- поиск по маске подсетиtext- поиск по текстовому полю (используется, если включена настройка автоподстановки keyword)
подсказка
Если между условиями нет оператора, то по умолчанию используется оператор AND.
Значение (<value>) можно указывать без двойных кавычек, если в нем нет разделителей или специальных символов.
к сведению
По умолчанию поиск по регулярному выражению regex является регистронезависимым. Для добавления чувствительности к регистру
при поиске по регулярному выражению необходимо использовать параметр sens в поисковом запросе.
Search in
| Синтаксис | Описание |
|---|---|
<field> in (<value>, <value>) | Конструкция search in позволяет выполнять поиск событий, значение поля <field> которых равно одному из перечисленных значений <value>. |
подсказка
В значениях <value> можно использовать * для wildcard поиска.
Примеры запросов
Пример №1
...
| search user=Ivanov OR user="Mar*"
Пример №2
...
| search count_result=5 AND nick="Iv*" mail="iv*"
Пример №3
...
| search regex place="(Ho|Mo)tel"
Пример №4
...
| search regex sens place="(Ho|Mo)tel"
Пример №5
...
| search wildcard name="An*li?"
Пример №6
...
| search cidr host="10.78.0.0/16"
Пример №7
...
| search cidr host="2001::/4"
Пример №8
...
| search user in (Ivanov, "Mar*")