是否可以在 Sumologic 中使用文字数据作为流源？

Posted 2023-02-22

【中文标题】是否可以在 Sumologic 中使用文字数据作为流源？

【英文标题】：Is it possible to use literal data as stream source in Sumologic?

【发布时间】：2020-01-15 02:23:09

【问题描述】：

Sumologic 用户是否可以在 Query 中定义数据源值并在子查询条件下使用它？

例如在 SQL 中，可以使用文字数据作为源表。

-- example in mysql
SELECT * FROM (
  SELECT 1 as `id`, 'Alice' as `name`
  UNION ALL
  SELECT 2 as `id`, 'Bob' as `name`
  -- ...
) as literal_table

不知道相扑逻辑是否也有这样的功能。

我相信将这种文字与子查询结合起来会让用户的生活更轻松。

【参考方案1】：

我相信 Sumo Logic 查询中的等价物将组合保存运算符以在子查询中创建查找表：https://help.sumologic.com/05Search/Subqueries#Reference_data_from_child_query_using_save_and_lookup

基本上是这样的：

_sourceCategory=katta
 [subquery:(_sourceCategory=stream explainJSONPlan.ETT) error
      | where !(statusmessage="Finished successfully" or statusmessage="Query canceled" or isNull(statusMessage))
      | count by sessionId, statusMessage
      | fields -_count
      | save /explainPlan/neededSessions
      | compose sessionId keywords]
| parse "[sessionId=*]" as sessionId
| lookup statusMessage from /explainPlan/neededSessions on sessionid=sessionid

/explainPlan/neededSessions 是您稍后在查询中选择的文字数据表（使用查找）。

【参考方案2】：

您可以使用一些您不经常更新的静态地图/字典定义一个查找表（您甚至可以指向 Internet 中的一个文件，以防您经常更改映射）。

然后您可以使用|lookup operator。子查询没什么特别的。

免责声明：我目前受雇于 Sumo Logic。