multivalues
mvappend
Описание: Принимает на вход параметры через запятую и возвращает multivalue значение
Пример:
... | eval res=mvappend(users, "hello", 12, pi())
mvcount
Описание: Принимает на вход параметр и возвращает количество записей в multivalue значении
Пример:
... | stats values(user) as users | eval x=mvcount(users)
mvdedup
Описание: Принимает на вход параметр и дедуплицирует значения в multivalue поле
Пример:
... | eval res=mvappend(users, "user1", "user2"), res=mvdedup(res)
mvfilter
Описание: Принимает на вход параметр и фильтрует по булевому признаку
Пример №1
... | eval res=mvfilter(match(users, "user1"))
Пример №2
... | eval res=mvfilter(in(users, "user1", "user2", "user2"))
Пример №3
... | ipa={"10.22.3.2", "192.168.0.1"}, x=mvfilter(cidrmatch("10.0.0.0/8", ipa))
Пример №4
... | eval myval={2, 6, 8, 10}, res=mvfilter(myval > 7)
mvfind
Описание: Принимает на вход параметр и возвращает индекс первого найденного совпадения
В примере res
примет значение 2
Пример №1
... | eval words={"hello", "my", "world"}, res=mvfind(words, "w(.*)")
В примере res
примет значение null
Пример №2
... | eval words={"hello", "my", "world"}, res=mvfind(ipa, "z(.*)")