您如何在 Sumo Logic 中执行相当于 SQL UNION 的操作？

Posted 2023-02-22

【中文标题】您如何在 Sumo Logic 中执行相当于 SQL UNION 的操作？

【英文标题】：How do you perform the equivalent of a SQL UNION in Sumo Logic?

【发布时间】：2019-10-03 02:33:55

【问题描述】：

使用 SQL，可以使用UNION 将两个或多个查询组合成一个结果集。你怎么能在 Sumo Logic 中做同样的事情？

【参考方案1】：

如果您可以提供 Sumo 查询的示例，我可能会为您提供更多帮助，但本质上 SQL 中的 UNION 相当于仅使用两个范围（第一个管道之前的所有内容 | 在 @987654321 @，您的关键字，元数据标签等）在 Sumo Logic 中的数据。所以，这个：

SELECT A, B, C
FROM scopeA
UNION
SELECT A, B, C
FROM scopeB

会（或多或少）翻译成这样：

(scope A search terms here) or (scope B search terms here)
| fields, operators, etc. that pull out your A, B, and C fields...

第一个管道之前的所有内容都是您的 FROM（在数据范围之间使用“或”）。管道之后的所有内容都是您可以提取两个数据集之间的公共字段的地方。在提取这些字段时，您可能会使用某种parse 运算符，您希望将其与nodrop 一起使用，这样它就不会被过滤掉，因为它与解析匹配。

我希望这会有所帮助。