lookup

`lookup`

lookupコマンドを使用して、フィールド値ルックアップを呼び出します。

構文

lookup table=<lookupTable>[<lookup_options>] select <outputFields> using <inputFields>

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ	説明
`outputFields`	構文: `<lookup_field> [as <log_field>] [,<lookup_field> [as <log_field>] ]*` 一致するログ・フィールド(索引付きまたは仮想)にコピーする必要があるルックアップ表の1つ以上のフィールドのリスト。
`lookupTable`	ルックアップ表の名前。
`lookup options`	構文: `[maxmatches= <value>] [default=<value>]` `maxmatches`: 特定のルックアップ・キーに対して返される可能性がある一致の最大数。最初の`n`個の一致がファイルの順序で返されます。有効な値: 1-1000 (両端を含む)。デフォルト値は1です。 `default`: 特定のルックアップ・キーに対する一致が見つからない場合に、すべての出力フィールドに使用されるデフォルト値。デフォルトでは、これはnullです。
`inputFields`	構文: `<log_field> [= <lookup_field>] [,<log_field> [= <lookup_field>] ]*` ログに対して照合するルックアップ表の1つ以上のフィールドのリスト。ログ・フィールド名(索引付きまたは仮想)は、ルックアップのフィールド名と異なる場合は指定する必要があります。

一般的なシナリオでこのコマンドを使用する例は、次を参照してください:

次の例は、ルックアップ・フィールドが既存の索引付きフィールドの名前である場合に、エラーの説明および重大度でORAエラー・コードを含むログ・レコードに注釈を付ける方法を示します。

* | lookup table=OraErrorCodes select description as errtxt, severity as sevlvl using 'Error Id'=error_id

次の例は、5つ以下のグループをリストするユーザー・グループ情報を追加する方法を示します。

* | lookup table=UserGroups maxmatches=5 select group using usrid

次の例は、複数のルックアップからの情報でログ・レコードに注釈を付ける方法を示します。

* | lookup table=DnsLookup select client_host using client_ip | lookup table=AccountLookup select acct_region using acct_id

次の例は、同じルックアップ表を使用して2つのルックアップを実行するが、ルックアップごとに異なるフィールドを使用する方法を示します。

* | lookup table=MyLookup select B using A | lookup table=MyLookup select D using C

次の例は、あるルックアップ表の値を検索してから、返されたフィールド値で別のルックアップ表を使用してルックアップを実行する方法を示します。

* | lookup table=FirstLookup select Y using X | lookup table=SecondLookup select Z using Y