EQLパイプリファレンス

Elasticsearchは次のEQLパイプをサポートしています。

head

指定された数のイベントまたはシーケンスを、最も早い一致から返します。Unix headコマンドと同様に機能します。

次のEQLクエリは、最も早い3つのPowerShellコマンドを返します。

Eql

  1. process where process.name == "powershell.exe"
  2. | head 3

構文

Txt

  1. head <max>

パラメータ

  • <max>
  • (必須、整数) 返す一致するイベントまたはシーケンスの最大数。

tail

指定された数のイベントまたはシーケンスを、最も最近の一致から返します。Unix tailコマンドと同様に機能します。

次のEQLクエリは、最も最近のsvchost.exeプロセスを最大5つ返します。

Eql

  1. process where process.name == "svchost.exe"
  2. | tail 5

構文

Txt

  1. tail <max>

パラメータ

  • <max>
  • (必須、整数) 返す一致するイベントまたはシーケンスの最大数。