EQL 管道参考
editEQL 管道参考
editElasticsearch 支持以下 EQL pipes。
head
edit返回最多指定数量的事件或序列,从最早的匹配开始。工作方式类似于 Unix head 命令。
示例
以下EQL查询返回最早的三个powershell命令。
process where process.name == "powershell.exe" | head 3
语法
head <max>
参数
-
<max> - (必需,整数) 返回的最大匹配事件或序列数量。
尾
edit返回最多指定数量的事件或序列,从最近的匹配项开始。工作方式类似于 Unix tail 命令。
示例
以下EQL查询返回最多五个最近的svchost.exe进程。
process where process.name == "svchost.exe" | tail 5
语法
tail <max>
参数
-
<max> - (必需,整数) 返回的最大匹配事件或序列数量。