splunkでクエリを使用し、フィールドのリストを抽出してから、これらの結果フィールドを使用して、後続のsplunkクエリをさらにフィルタリングしたいと思います。どうすればよいですか?
質問する
24742 次
3 に答える
6
これには、FORMAT コマンドが特に役立ちます。これは非常に単純化された例ですが、どのように使用されるかを理解できるはずです:
まず、関心のあるフィールドを提供するサブサーチを作成します。機能する例を次に示します。
|metadata type=hosts index=_internal | table host | format
この検索を単独で実行して、出力がどのように見えるかを確認してください。
次に、それを実際の検索のサブ検索として追加します。
index=foo sourcetype=bar [|metadata type=hosts index=_internal | table host | format]
これにより、インデックス foo、ソースタイプ bar、およびサブサーチのすべてのホストからのイベントが得られます。
これは実際には非常に強力なコマンドであり、時間範囲や複雑なブール フィルターを動的に設定するために使用できます。
于 2013-04-17T19:11:31.017 に答える
0
1 つのオプションは、最初の検索から次の検索にデータをパイプして、結果をさらにフィルター処理することです。次の単純化された検索文字列が、これを行う方法についてのアイデアを提供してくれることを願っています...
index=_internal | head 100 | fields host, sourcetype, source | search sourcetype="splunkd_access"
詳細については、Splunk Search リファレンスを読むことをお勧めします
于 2013-03-07T16:01:38.247 に答える