PPL 语法
每个 PPL 查询都以 search 命令开始。它指定要搜索和检索文档的索引。
PPL 每个查询只支持一个 search 命令,并且它总是第一个命令。search 单词可以省略。
后续命令可以以任何顺序排列。
语法
search source=<index> [boolean-expression]
source=<index> [boolean-expression]
| 字段 | 描述 | 必需 |
|---|---|---|
索引 | 指定要查询的索引。 | 否 |
布尔表达式 | 指定一个求值为布尔值的表达式。 | 否 |
示例
示例 1:通过 accounts 索引搜索
在以下示例中,search 命令将 accounts 索引作为来源,并使用 fields 和 where 命令作为条件
search source=accounts
| where age > 18
| fields firstname, lastname
在以下示例中,尖括号 < > 包含必需参数,方括号 [ ] 包含可选参数。
示例 2:获取所有文档
要从 accounts 索引中获取所有文档,请将其指定为 source
search source=accounts;
| account_number | firstname | address | balance | gender | city | employer | state | age | lastname | |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Amber | 880 Holmes Lane | 39225 | M | Brogan | Pyrami | IL | 32 | amberduke@pyrami.com | Duke |
| 6 | Hattie | 671 Bristol Street | 5686 | M | Dante | Netagy | TN | 36 | hattiebond@netagy.com | Bond |
| 13 | Nanette | 789 Madison Street | 32838 | F | Nogal | Quility | VA | 28 | null | Bates |
| 18 | Dale | 467 Hutchinson Court | 4180 | M | Orick | null | MD | 33 | daleadams@boink.com | Adams |
示例 3:获取匹配条件的文档
要从 accounts 索引中获取 account_number 等于 1 或 gender 为 F 的所有文档,请使用以下查询
search source=accounts account_number=1 or gender=\"F\";
| account_number | firstname | address | balance | gender | city | employer | state | age | lastname | |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Amber | 880 Holmes Lane | 39225 | M | Brogan | Pyrami | IL | 32 | amberduke@pyrami.com | Duke |
| 13 | Nanette | 789 Madison Street | 32838 | F | Nogal | Quility | VA | 28 | null | Bates |