1

Sumologic 用户是否可以在 Query 中定义数据源值并在子查询条件下使用它?

例如在 SQL 中,可以使用文字数据作为源表。

-- example in MySQL
SELECT * FROM (
  SELECT 1 as `id`, 'Alice' as `name`
  UNION ALL
  SELECT 2 as `id`, 'Bob' as `name`
  -- ...
) as literal_table

我想知道相扑逻辑是否也有这种功能。

我相信将这种文字与子查询结合起来会让用户的生活更轻松。

4

2 回答 2

1

我相信相扑逻辑查询中的等价物将组合保存运算符以在子查询中创建查找表:https ://help.sumologic.com/05Search/Subqueries#Reference_data_from_child_query_using_save_and_lookup

基本上是这样的:

_sourceCategory=katta
 [subquery:(_sourceCategory=stream explainJSONPlan.ETT) error
      | where !(statusmessage="Finished successfully" or statusmessage="Query canceled" or isNull(statusMessage))
      | count by sessionId, statusMessage
      | fields -_count
      | save /explainPlan/neededSessions
      | compose sessionId keywords]
| parse "[sessionId=*]" as sessionId
| lookup statusMessage from /explainPlan/neededSessions on sessionid=sessionid

其中 /explainPlan/neededSessions 是您稍后在查询中选择的文字数据表(使用查找)。

于 2020-01-15T15:33:44.037 回答
0

您可以使用一些您不经常更新的静态地图/字典定义一个查找表(您甚至可以指向 Internet 中的一个文件,以防您经常更改映射)。

然后你就可以使用|lookup操作符了。对于子查询来说,这没什么特别的。

免责声明:我目前受雇于 Sumo Logic。

于 2020-01-17T22:07:04.233 回答