是否可以使用文字数据作为Sumologic中的流源?

时间:2020-01-15 02:23:09

标签: sumologic

Sumologic用户是否可以在查询中定义数据源值并在子查询条件下使用它?

例如在SQL中,可以将文字数据用作源表。

-- example in MySQL
SELECT * FROM (
  SELECT 1 as `id`, 'Alice' as `name`
  UNION ALL
  SELECT 2 as `id`, 'Bob' as `name`
  -- ...
) as literal_table

我想知道Sumo逻辑是否也具有这种功能。

我相信将此类文字与子查询结合使用会使用户的生活更轻松。

2 个答案:

答案 0 :(得分:1)

我相信Sumo Logic查询中的等效项将结合save运算符以在子查询中创建查找表:https://help.sumologic.com/05Search/Subqueries#Reference_data_from_child_query_using_save_and_lookup

基本上是这样的:

_sourceCategory=katta
 [subquery:(_sourceCategory=stream explainJSONPlan.ETT) error
      | where !(statusmessage="Finished successfully" or statusmessage="Query canceled" or isNull(statusMessage))
      | count by sessionId, statusMessage
      | fields -_count
      | save /explainPlan/neededSessions
      | compose sessionId keywords]
| parse "[sessionId=*]" as sessionId
| lookup statusMessage from /explainPlan/neededSessions on sessionid=sessionid

/ explainPlan / neededSessions是您的文字数据表,您可以稍后在查询中(使用查找)从中选择。

答案 1 :(得分:0)

您可以定义查找表,其中包含一些不经常更新的静态地图/词典(如果您经常更改映射,甚至可以指向Internet中的文件)。

然后您可以使用|lookup operator。子查询没什么特别的。

免责声明:我目前在Sumo Logic工作。

相关问题
最新问题