map
Описание
Выполняет поиск для каждого входящего события.
Синтаксис
map <subsearch> [<maxsearches>]
Обязательные аргументы
Параметр | Синтаксис | Описание |
---|---|---|
<subsearch> | [ subsearch ] | Запрос должен быть включен в квадратные скобки и начинаться с указания источника (source, script, makeresults и т.д.). |
к сведению
Поля, названия которых написаны в долларах ($<field>$)
, будут заменены на соответствующие значения из входных событий.
Опциональные аргумент ы
Параметр | Синтаксис | По умолчанию | Описание |
---|---|---|---|
<maxsearches> | maxsearches=<int> | 10 | Максимальное число поисковых запросов. |
предупреждение
Значение maxsearches=0
не даст неограниченный поиск.
Примеры запросов
В первом примере будут выполнены подзапросы для первых трех событий из индекса math_logs, значение переменной res будет равно значению host_name во входном событии.
Пример №1
source math_logs
| map maxsearches=3
[source tweets
| eval res = $host_name$ ]
Пример №2
source math_logs
| map
[source tweets
| eval res = $host_name$ ]
| where res == "host121"
Пример №3
source tweets8 qsize=1
| map
[source math_logs | eval res = mvcount($index$) ]