EQL 管道参考
编辑EQL 管道参考编辑
Elasticsearch 支持以下 EQL 管道。
head编辑
返回最多指定数量的事件或序列,从最早的匹配项开始。与 Unix head 命令 类似。
示例
以下 EQL 查询返回最多三个最早的 powershell 命令。
process where process.name == "powershell.exe" | head 3
语法
head <max>
参数
-
<max> - (必需,整数) 要返回的最大匹配事件或序列数。
tail编辑
返回最多指定数量的事件或序列,从最新的匹配项开始。与 Unix tail 命令 类似。
示例
以下 EQL 查询返回最多五个最新的 svchost.exe 进程。
process where process.name == "svchost.exe" | tail 5
语法
tail <max>
参数
-
<max> - (必需,整数) 要返回的最大匹配事件或序列数。