Если вы можете привести пример запроса Sumo, я могу вам помочь немного больше, но по сути UNION в SQL будет эквивалентен использованию только двух областей (все до первого канала | в * 1001)* поиск , ваши ключевые слова, метаданные теги и т. д.) данных в сумо логики. Итак, это:
SELECT A, B, C
FROM scopeA
UNION
SELECT A, B, C
FROM scopeB
будет (более или менее) перевести на это:
(scope A search terms here) or (scope B search terms here)
| fields, operators, etc. that pull out your A, B, and C fields...
Где все, что находится перед первым каналом, является вашим FROM (с использованием "или" между областями видимости)данных). Все, что находится после канала, - это то место, где вы должны вытащить общие поля между двумя наборами данных. При извлечении этих полей вы, вероятно, будете использовать какой-то оператор parse , который вы захотите использовать с nodrop , чтобы он не отфильтровывался, поскольку он соответствует синтаксическому анализу.
Надеюсь, это поможет.