transaction
Описание
Выполняет поиск и генерацию массива данных, группируя данные по совпадениям.
Синтаксис
transaction <field-list> [timefield=<timefield>] [maxspan=<span>] [maxpause=<span>] [<rawfield>=<field>]
Обязательные аргументы
| Параметр | Синтаксис | Описание |
|---|---|---|
<field-list> | <field> [, <field>] | Список полей для сравнения. |
Опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
timefield | timefield=<field> | @timestamp | Имя поля в котором хранится временная метка. |
rawevent | rawevent=<field> | Имя поля, значение которого будет конкатенировано (single value). | |
maxspan | maxspan=<span> | без ограничений | События, не попавшие в заданный период, добавляются в новую транзакцию. |
maxpause | maxpause=<span> | без ограничений | События, не попавшие в заданный период, добавляются в новую транзакцию. |
Допустим следующий формат временных параметров: (+|-)<int>(s|m|h|d|w|month):
- s/sec/secs/second/seconds - секунды
- m/min/mins/minute/minutes - минуты
- h/hr/hrs/hour/hours - часы
- d/day/days - дни
- w/week/weeks - недели
- mon/month/months - месяцы
предупреждение
Если в исходных событиях присутствуют поля duration, eventcount, они будут перезаписаны статистическими результатами transaction. Если в исходных событиях присутствуют поле rawevent и в команде указана опция rawevent, в результатах поле будет перезаписано.
Примеры запросов
Пример №1
... | transaction field1, field2
Пример №2
... | transaction field1, field2 maxspan=1m
Пример №3
... | transaction field1, field2 maxpause=1m
Пример №4
... | transaction field1, field2 maxpause=1m maxspan=1m timefield=myTimeStamp
Пример №5
... | transaction field1, field2 maxpause=1m maxspan=1m timefield=myTimeStamp rawevent=message