堆栈内存溢出
  繁体   English   中英

Splunk-仅当搜索字段在查找表中包含单词时如何获取结果

[英]Splunk - How to get results only if search field contains a word in the lookup table

 原文  2019-09-13 18:28:08       splunk/ splunk-query

问题描述

如果我有一个搜索结果,其中包含一个名为“ Field1”的字段,并且其值类似于:

现在是Word1。

现在是Word2。

现在是WordX。

现在是WordZ。

下面是Word的查询表。

场1

Word1

Word2

Word3

Word4

Word5

Word6

我该如何搜索,以便仅在输出结果下方显示,因为它们包含查找表中的“ Word1”和“ Word2”?

现在是Word1。

现在是Word2。

1 个解决方案

解决方案1
 0  2019-09-15 13:11:18

一种方法是在子搜索中读取查找文件。 

index=foo [ | inputlookup words.csv | format ]

format命令将查找文件的内容设置为field = value格式,因此最终查询将变为index=foo ((field1=Word1) OR (field1=Word2))

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在具有多值字段的查找表中搜索 Splunk 在splunk中,如何为个人创建私有查找表? 如何在 splunk 搜索中获取特定字段以查找嵌套的 JSON 事件 Splunk 搜索 - 如何在多值字段上循环 Splunk-没有结果,但搜索正确 如何计算Splunk中的结果并将其放在表格中? 如何在Splunk搜索查询中使用/执行查找列中的位置 在splunk搜索中如何获取具有没有任何值的字段的所有实例 根据结果字段/字符串值获取 Splunk Query 的不同结果(过滤结果) Splunk:如何使用正则表达式直接在搜索命令中提取字段?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM