保存

構文

• save <myFolder/mySubFolder/myFileName>

ルール

• 保存ファイルの最大サイズは 500MB です。
• save operator を使用しているクエリはピン留めできません。

例

日ごとに作成される新しいユーザ アカウントのデータを保存したいとします。この場合は、save operator を次のように使用します。

| parse "name=*," as name
| parse "action=*," as action
| parse "date=*," as date
| where action="sign-up"
| first(date) as date, first(action) as action by name
| save myFolder/mySubFolder/newDailyUsers

上の検索を実行すると、次のようなファイルが作成されます。

保存されているテーブルへのデータには lookup operator でアクセスできます。

save operator では、集計結果も保存できます。

fields operator を使用した不要なフィールドの削除

保存ファイルを作成する場合は、処理をスピーディに行うために、ファイルサイズをできるだけ小さくしてください。そのためには、fields operator を使用して不要なフィールドを削除するのがよいでしょう。これには _raw などの組み込みメタデータ フィールドも含まれます。

共有場所へのファイルの保存

save operator で生成されたファイルは、組織レベルの共有フォルダに保存できます。これにより、組織の他のユーザがルックアップ クエリを実行する際に、この検索結果を使用できるようになります。

ファイルを共有の場所に保存するには、先頭に shared という単語を含めます。

...save /shared/myFolder/mySubFolder/fileName

詳細については、「lookup operator を使用した保存データへのアクセス」を参照してください。

保存ファイルへの追加

save operator で作成されたファイルには、いつでもデータを追加できます。Scheduled Search を毎日実行して、その日のプロパティを計算している場合は、前日までの結果が保存されている既存のファイルの末尾に新しい日の結果が追加されます。ファイルに追加するデータは既存のデータと完全に一致しなければなりません。新しい結果が以前の結果と一致しない場合は、エラー メッセージが返されます。フィールドを追加しようとした場合も同様です。

「append」を指定しないと、保存されているデータが上書きされます。

Scheduled Search を 24 時間おきに実行して、newDailyUsers ファイルにデータを追加するとします。

| parse "name=*," as name 
| parse "action=*," as action 
| parse "date=*," as date 
| where action="sign-up" 
| first(date) as date, first(action) as action by name 
| save append myFolder/mySubFolder/newDailyUsers

クエリを実行すると、上記の内容が実行されて、結果が newDailyUsers ファイルの末尾に追加されます。

また、保存ファイルには別のクエリからデータを追加することもできます。たとえば、請求情報の入った「bill」とアカウント情報の入った「config」という 2 つの Source があり、両方の Source から何らかの値を検索したいとします。これらの検索により、両方の Source からの情報が格納されたテーブルが作成されます。

_source=bill | parse "user_id=*," as name
| parse "user_email=*," as email
| save myFolder/mySubFolder/NameEmailMapping

_source=config | parse "_user=[*]" as name
| parse "contact_info=[*]" as email
| save append myFolder/mySubFolder/NameEmailMapping