ES|QL

Tester des fonctions sans index avec ROW

ROW fabrique une ligne en mémoire : idéal pour valider un motif DISSECT, une conversion ou un CIDR_MATCH avant de l'appliquer à des millions de documents.

Cas d'usage

Prototyper et déboguer une expression ES|QL dans Kibana sans toucher aux données.

Prérequis

Elasticsearch 8.12+, Kibana

SQL

ROW ip = "203.0.113.42",
    message = "user=jdoe action=login result=ok"
| EVAL est_interne = CIDR_MATCH(TO_IP(ip), "10.0.0.0/8", "192.168.0.0/16")
| DISSECT message "user=%{utilisateur} action=%{action} result=%{resultat}"
| EVAL action_maj = TO_UPPER(action)
| KEEP ip, est_interne, utilisateur, action_maj, resultat

Résultat

ip           | est_interne | utilisateur | action_maj | resultat
-------------+-------------+-------------+------------+---------
203.0.113.42 | false       | jdoe        | LOGIN      | ok

1 ligne en 0.018 s — motif DISSECT valide, pret pour le vrai index

ROWPrototypageDebugDISSECT

Snippets liés

Latence moyenne pondérée par le volume de requêtes
Parser un access log Apache brut avec GROK
Password spraying : beaucoup de comptes, peu d'essais
Exfiltration DNS : sous-domaines nombreux et longs
Compte créé puis promu admin en moins d'une heure

← Retour au Data Lab