EQL 管道参考
编辑EQL 管道参考
编辑Elasticsearch 支持以下 EQL 管道。
head
编辑返回最多指定数量的事件或序列,从最早的匹配项开始。其工作方式类似于 Unix head 命令。
示例
以下 EQL 查询返回最多三个最早的 PowerShell 命令。
process where process.name == "powershell.exe" | head 3
语法
head <max>
参数
-
<max> - (必填,整数) 要返回的最大匹配事件或序列数。
tail
编辑返回最多指定数量的事件或序列,从最新的匹配项开始。其工作方式类似于 Unix tail 命令。
示例
以下 EQL 查询返回最多五个最新的 svchost.exe 进程。
process where process.name == "svchost.exe" | tail 5
语法
tail <max>
参数
-
<max> - (必填,整数) 要返回的最大匹配事件或序列数。