Создание SQL-запроса вручную
Вы можете вручную использовать строку поиска, чтобы создавать SQL-запросы любой сложности для фильтрации событий.
Чтобы сформировать SQL-запрос вручную:
- Перейдите в раздел События веб-интерфейса KUMA.
Откроется форма с полем ввода.
- Введите SQL-запрос в поле ввода. Вам нужно использовать одинарные кавычки в запросах.
- Нажмите на кнопку Выполнить запрос.
Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.
Поддерживаемые функции и операторы
Функция |
Описание |
---|---|
|
Поля событий, которые требуется возвращать. Поддерживаются следующие функции и операторы:
Вы можете комбинировать в SQL-запросе функции и операторы. Если вы используете в SQL-запросе функции агрегации, вы можете настроить отображение столбцов в таблице событий. После выполнения запроса без * столбцы придут в соответствие с запросом. Также недоступна сортировка событий по возрастанию и убыванию, а также получение статистики. Если в запросе используется группировка или агрегирующие функции, радар показывает не одно число, которое пришло по запросу "SELECT max(BytesOut) FROM `events` LIMIT 250", а распределение событий, из которых получается это число. |
|
Источник данных. При создании SQL-запроса в качестве источника данных вам нужно указать значение events. |
|
Условия фильтрации событий:
|
|
Поля событий или псевдонимы, по которым требуется группировать возвращаемые данные. Если вы используете в SQL-запросе группировку данных, в списке событий будут отображаться пользовательские поля, указанные в запросе. Настройка столбцов таблицы в группе недоступна. В событиях группы можно настроить отображение столбцов. Также недоступна сортировка событий по возрастанию и убыванию, получение статистики. |
|
Столбцы, по которым требуется сортировать возвращаемые данные. Возможные значения:
|
|
Количество строк, которые требуется пропустить перед отображением результатов SQL-запроса. |
|
Количество отображаемых в таблице строк. Значение по умолчанию: Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает указанное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше. Эта кнопка не отображается при фильтрации событий по стандартному периоду. |
Примеры SQL-запросов:
|
Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).
Пример:
Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону |
При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.
Пример:
Все события таблицы events для хостов с IP-адресом 00.00.00.000, на которых запущен процесс example, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. |
Если вы создали SQL-запрос вручную в строке поиска и затем переключились на конструктор, параметры SQL-запроса не перенесутся в конструктор. В этом случае вам потребуется создать SQL-запрос в конструкторе заново. SQL-запрос, созданный в конструкторе, не перезаписывает SQL-запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить запрос в окне конструктора. Если вы создали SQL-запрос в конструкторе и затем переключились на поисковую строку, параметры запроса перенесутся автоматически.
Используемые в поисковых запросах псевдонимы не должны содержать пробелов.
Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.