Informations de référence sur les commandes du langage d'interrogation
Indiquez des commandes dans votre chaîne d'interrogation pour effectuer des actions spécifiques sur les résultats de recherche.
La première commande implicite d'une interrogation est la commande search. Cette commande consiste en une série de mots clés et de paires nom de champ-valeur qui identifient les données à extraire. Vous pouvez spécifier d'autres commandes en les séparant de la commande search à l'aide d'une barre verticale (|).
Les commandes suivantes sont prises en charge :
| Commande | Description |
|---|---|
addfields |
Générez des données agrégées dans les résultats générés par les commandes |
bottom |
Afficher un nombre spécifique de résultats avec la valeur agrégée la plus faible pour le champ spécifié. |
bucket |
Regrouper les enregistrements de journal dans des seaux en fonction de l'intervalle de valeurs d'un champ. |
classify |
Propriétés de grappe des groupes identifiés par la commande |
cluster |
Regrouper des enregistrements de journal similaires. |
clustercompare |
Comparez une collection de grappes à une autre et pour voir les grappes qui existent exclusivement dans l'intervalle courant par rapport aux grappes qui existent exclusivement dans l'intervalle de base. |
clusterdetails |
Consultez les données de journal dans les catégories pour obtenir des résultats |
clustersplit |
Voir les données de journal d'un regroupement pour des résultats |
compare |
Comparez les propriétés générées par la commande |
createtable |
Tabulez un ou plusieurs champs à partir des résultats de la commande |
createview |
Définissez une sous-interrogation pour créer un sous-jeu de groupes identifiés par la commande |
dedup |
Supprimez les résultats qui contiennent une combinaison identique de valeurs de champ en fonction de l'ordre de recherche généré au moyen de la commande |
delta |
Calculez la différence entre une propriété numérique d'un groupe et une autre propriété numérique d'un groupe précédent, dans l'ordre de tri des groupes lorsque la commande |
distinct |
Supprimez les doubles des résultats retournés. |
eval |
Calculez la valeur d'une expression et affichez la valeur dans un nouveau champ. |
eventstats |
Obtenez des statistiques sommaires globales, éventuellement regroupées par champs, sur les propriétés des résultats générés par les commandes |
extract |
Obtenir des extraits d'un champ existant à l'aide d'une expression rationnelle. |
fields |
Spécifiez les champs à ajouter ou à supprimer des résultats extraits, en fonction des noms de champ. |
fieldsummary |
Retourne les données pour les champs spécifiés. |
frequent |
Affichez n résultats des valeurs les plus fréquentes de tous les champs de la liste. |
geostats |
Fournissez des statistiques sommaires, regroupées par le champ Coordonnées de l'hôte client. |
head |
Affichez les n premiers résultats. |
highlight |
Mettez en correspondance une chaîne ou une liste de chaînes et mettez-les en évidence dans l'interface utilisateur des journaux. |
highlightgroups |
Mettre en correspondance des chaînes ou des critères de recherche dans les propriétés des groupes identifiés par une commande de regroupement telle que |
highlightrows |
Mettez en correspondance une chaîne ou une liste de chaînes, puis mettez la ligne entière en évidence dans l'interface utilisateur des journaux. |
jsonextract |
Obtenez des extraits d'un champ existant à l'aide d'un chemin Json à partir des données au format JSON. |
link |
Regrouper les enregistrements de journal dans des transactions d'affaires de haut niveau. |
lookup |
Appeler des consultations de valeur de champ. |
map |
Joignez une vue créée à l'aide de la commande |
nlp |
Appliquer des algorithmes de traitement du langage naturel à un champ de texte. |
outlier |
Rechercher des valeurs de champ irrégulières ou inhabituelles dans les résultats. |
rare |
Affichez n résultats des valeurs les moins fréquentes de tous les champs de la liste. Vous pouvez éventuellement regrouper par champs supplémentaires. |
regex |
Filtrer les données en fonction d'une expression rationnelle spécifiée. |
rename |
Modifiez le nom d'un champ. |
search |
Extraire une expression logique spécifique des données de journal disponibles. |
searchlookup |
Extraire le contenu d'une table de consultation. |
sequence |
Recherchez des modèles d'enregistrement de journal dans les groupes identifiés par la commande |
sort |
Trier les journaux en fonction des champs spécifiés. |
stats |
Fournissez des statistiques sommaires pour les résultats de recherche, éventuellement regroupées selon un champ spécifié. |
tail |
Afficher les n derniers résultats. |
timecluster |
Regroupez les graphiques chronologiques en fonction de leur similitude. |
timecompare |
Générez des colonnes avec les résultats de toutes les colonnes agrégées générées par la commande |
timestats |
Générer des données pour afficher les tendances statistiques dans le temps, éventuellement regroupées selon un champ spécifié. |
top |
Affiche soit le nombre spécifié de valeurs de champ avec le plus grand nombre d'occurrences, soit le nombre spécifié de résultats avec la valeur agrégée la plus élevée déterminée par le champ spécifié. |
updatetable |
Mettez à jour une table existante créée à l'aide de la commande |
where |
Calculer la valeur d'une expression pour qu'elle soit vraie ou fausse. |
xmlextract |
Obtenez des extraits d'un champ existant à l'aide de XPath à partir d'un document XML. |