0

私のサブ検索にはこの定義済みフィールドが含まれており、それを使用して、rex を使用してフィールドを取得するメイン検索を検索しようとしていますが、結果が得られません。

私はいくつかの異なることを試しました:

host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."

host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]

host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]

どうすればこれを実行できるか知っている人はいますか?

4

3 に答える 3

0

サブサーチを使用して、そのフィールドのコマンドを含むルート検索の結果セットをスクラブしようとしている場合、| rexそれは機能しません。

サブ検索は完全に異なる検索であり、以前の検索の結果セットに依存しないため、独自の結果セットを作成します。

Splunk で求めていることを行う 1 つの方法は、props.conf にフィールドを作成することです。

[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"

その後、あなたが何をしているかに応じて、| streamstatsまたは| eventstatsコマンドを使用するかもしれません

于 2017-01-11T18:15:03.323 に答える