您如何在 Sumo Logic 中执行相当于 SQL UNION 的操作?
How do you perform the equivalent of a SQL UNION in Sumo Logic?
使用 SQL 可以使用 UNION 将两个或多个查询组合成一个结果集。如何在 Sumo Logic 中做同样的事情?
如果你能提供一个 Sumo 查询的例子,我可能会帮助你更多,但本质上,SQL 中的 UNION 相当于只使用两个范围(第一个范围之前的所有内容)管道 | 在 search、您的关键字、元数据标签等)Sumo Logic 中的数据。所以,这个:
SELECT A, B, C
FROM scopeA
UNION
SELECT A, B, C
FROM scopeB
会(或多或少)转化为:
(scope A search terms here) or (scope B search terms here)
| fields, operators, etc. that pull out your A, B, and C fields...
第一个管道之前的所有内容都是您的 FROM(在数据范围之间使用 "or")。管道之后的所有内容都是您提取两个数据集之间的公共字段的地方。在提取这些字段时,您可能会使用某种 parse operator, which you'll want to use with nodrop,因此它不会在匹配解析时被过滤掉。
希望对您有所帮助。
使用 SQL 可以使用 UNION 将两个或多个查询组合成一个结果集。如何在 Sumo Logic 中做同样的事情?
如果你能提供一个 Sumo 查询的例子,我可能会帮助你更多,但本质上,SQL 中的 UNION 相当于只使用两个范围(第一个范围之前的所有内容)管道 | 在 search、您的关键字、元数据标签等)Sumo Logic 中的数据。所以,这个:
SELECT A, B, C
FROM scopeA
UNION
SELECT A, B, C
FROM scopeB
会(或多或少)转化为:
(scope A search terms here) or (scope B search terms here)
| fields, operators, etc. that pull out your A, B, and C fields...
第一个管道之前的所有内容都是您的 FROM(在数据范围之间使用 "or")。管道之后的所有内容都是您提取两个数据集之间的公共字段的地方。在提取这些字段时,您可能会使用某种 parse operator, which you'll want to use with nodrop,因此它不会在匹配解析时被过滤掉。
希望对您有所帮助。