これは私のログ ファイルの行です。PAMapped の値を持たないすべての searchTerms を取得したい
2012-10-29 11:20:21,711 - searchTerm=speeding&location=Soperton%2C+GA&PAMapped=
これは私が与えた検索です。
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" NOT PAMapped=* Early=-1mon@mon
ただし、すべてのインスタンスが返されるわけではありません。1つだけ返します。
PAMappedフィールドはすでに抽出されていると思います...
fillnullコマンド ( docs ) を使用して、このフィールドのすべての空の値に汎用値を追加します。これにより、ユースケースのように、NULL 値を持つフィールドのフィルタリングがはるかに簡単になります。
たとえば、おそらく次のようなことができます。
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" earliest=-1mon@mon | fillnull value=NULL PAMapped | search PAMapped=NULL
これは最も効率的な検索ではないかもしれませんが、拡張の可能性が高くなる可能性があります。
whereコマンドを使用して結果をフィルタリングすることもできます ( docs1 & docs2 )。次のようなものが機能する場合があります。
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" earliest=-1mon@mon | where isnull(PAMapped)
お役に立てれば。
PS 公式の Splunk フォーラムである SplunkBase で、より有益で迅速な回答を見つけることができます。