Можно ли использовать литеральные данные в качестве источника потока в Sumologi c?

Question

Возможно ли для пользователя Sumologi c определить значения источника данных внутри запроса и использовать его в условии подзапроса?

Например, в SQL можно использовать литеральные данные в качестве исходной таблицы.

-- example in MySQL
SELECT * FROM (
  SELECT 1 as `id`, 'Alice' as `name`
  UNION ALL
  SELECT 2 as `id`, 'Bob' as `name`
  -- ...
) as literal_table

Интересно, есть ли у Sumo logi c такая функциональность?

Я считаю, что объединение такого литерала с подзапросами облегчит жизнь пользователя.

Answer 1

Я полагаю, что эквивалент в запросе Sumo Logi c будет сочетать оператор сохранения для создания таблицы подстановки в подзапросе: https://help.sumologic.com/05Search/Subqueries#Reference_data_from_child_query_using_save_and_lookup

По сути, что-то вроде этого:

_sourceCategory=katta
 [subquery:(_sourceCategory=stream explainJSONPlan.ETT) error
      | where !(statusmessage="Finished successfully" or statusmessage="Query canceled" or isNull(statusMessage))
      | count by sessionId, statusMessage
      | fields -_count
      | save /explainPlan/neededSessions
      | compose sessionId keywords]
| parse "[sessionId=*]" as sessionId
| lookup statusMessage from /explainPlan/neededSessions on sessionid=sessionid

Где / объяснение-плана / нужного сеанса - это таблица литеральных данных, которую вы выбираете позже в запросе (используя поиск).

Answer 2

Вы можете определить таблицу поиска с помощью некоторой карты c карты / словаря, которую вы обновляете не так часто (вы можете даже указать на файл в inte rnet в случае частого изменения отображения).

И тогда вы можете использовать оператор |lookup . Для подзапросов ничего особенного.

Отказ от ответственности: В настоящее время я работаю в Sumo Logi c.