Scheduled View に対する検索の実行

Scheduled View のインデックス化データに対する検索の実行は、他のすべてのクエリの実行とほとんど同じです。異なる点は結果がすばやく返される点のみで、特に長い期間の履歴データに対して検索を行う場合に顕著です。

ビューを含むクエリは、Scheduled Search、ダッシュボードパネル、あるいは公開または保存済み検索として保存できます。Scheduled View を作成できるのはシステム管理者のみです。

Scheduled View に対して検索を実行する手順:

_view=ScheduledViewName で、検索したいデータをインデックス化した Scheduled View の名前を指定します。
必要な operator を使用してクエリの残りを作成します。

この例では、NGINX ログをインデックス化した fraudTroller という名前の Scheduled View に対して検索を実行しています。このデータサブセットを指定することで、前日のログに対して検索を実行することができ、データがすでに集計済みであるため結果をすばやく得ることができます。クエリで使用している operator により、クエリを Scheduled Search またはダッシュボードパネルとして保存できます。

_view=fraudTroller | sum(total) as total,count_distinct(cookie) as %"Cookie", count_distinct(url) as distinct_pages,sum(login_cmd) as login_cmd, sum(login_jsp) as login_jsp, sum(main_jsp) as main_jsp ,max(L_time) as L_time, min(E_Time) as E_Time by trueip | where login_cmd+login_jsp>0 | distinct_pages/(login_cmd+login_jsp) as bad_rating | formatDate(tolong(E_Time),"MM-dd-yyyy HH:mm:ss") as E_Time | formatDate(tolong(L_time),"MM-dd-yyyy HH:mm:ss") as L_time | sort + bad_rating | limit 50