堆棧內存溢出
  簡體   English   中英

Splunk-僅當搜索字段在查找表中包含單詞時如何獲取結果

[英]Splunk - How to get results only if search field contains a word in the lookup table

 原文  2019-09-13 18:28:08       splunk/ splunk-query

問題描述

如果我有一個搜索結果,其中包含一個名為“ Field1”的字段,並且其值類似於:

現在是Word1。

現在是Word2。

現在是WordX。

現在是WordZ。

下面是Word的查詢表。

場1

Word1

Word2

Word3

Word4

Word5

Word6

我該如何搜索,以便僅在輸出結果下方顯示,因為它們包含查找表中的“ Word1”和“ Word2”?

現在是Word1。

現在是Word2。

1 個解決方案

解決方案1
 0  2019-09-15 13:11:18

一種方法是在子搜索中讀取查找文件。 

index=foo [ | inputlookup words.csv | format ]

format命令將查找文件的內容設置為field = value格式,因此最終查詢將變為index=foo ((field1=Word1) OR (field1=Word2))

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在具有多值字段的查找表中搜索 Splunk 在splunk中,如何為個人創建私有查找表? 如何在 splunk 搜索中獲取特定字段以查找嵌套的 JSON 事件 Splunk 搜索 - 如何在多值字段上循環 Splunk-沒有結果,但搜索正確 如何計算Splunk中的結果並將其放在表格中? 如何在Splunk搜索查詢中使用/執行查找列中的位置 在splunk搜索中如何獲取具有沒有任何值的字段的所有實例 根據結果字段/字符串值獲取 Splunk Query 的不同結果(過濾結果) Splunk:如何使用正則表達式直接在搜索命令中提取字段?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM