검색 조건을 추가할 때 유용

SQL에서 IN 조건의 sub query 와 비슷하게 사용할 수 있다.

index=ids OR index=stream* OR index=netflow  sourcetype="stream:netflow"
    [| inputlookup "hackerip_from_ips_sniper.csv"
     | search src = "193.124.22.228" OR src= "140.82.121.4" OR dest = "193.124.22.228" OR dest = "140.82.121.4"
     | stats values(Hacker) as Hacker
     | eval Hacker=mvjoin(Hacker, ", ")
     | eval condition="src IN (".Hacker.") OR dest IN (".Hacker.")"
     | return $condition
    ]

 

즉 수행되는 쿼리는 다음과 같다.

index=ids OR index=stream* OR index=netflow  sourcetype="stream:netflow" src IN ( Hacker IP1, IP2, IP3, xxx)