[英]How to search a lookup based on partial match of field values of a base search in splunk
我正在嘗試合並 2 個搜索,其中外部搜索將值傳遞給內部搜索,然后附加結果。 讓我解釋:
截至目前,我正在搜索一組日志,其中恰好包括人們的姓名和他們致電銀行時的請求類型。 我關注的是“撤回詢問”。 因此,我們根據以下基本搜索獲得了所有嘗試取款的人的列表。
index=myIndex sourcetype=mySource request_type="withdraw inquiry"
| xmlkv DetailXML
| stats count, values(phone_number), values(activity_summary), values(request_type) values(email) by acct_num name_last name_first
| where count > 1
| sort - count
結果是一個看起來像這樣的表:
賬號 | name_first | name_last | 通話次數 | 值(電話號碼) | 值(活動摘要) | 值(電子郵件) |
---|---|---|---|---|---|---|
123456678 | 史密斯 | 約翰 | 3個 | 1235550987 | 撤回詢問 | john.smith@company.com |
這很好,但我想 append 或添加另一列,其中包含來自名為 Previously_Compromised_Accounts.csv 的查找表的信息,看起來像這樣
用戶 | 日期 | intel_source |
---|---|---|
傑史密斯001 | 2021年12月26日 | 欺詐罪 |
這個想法是搜索查找表,使用來自 name_last 字段的部分匹配“smith”和 append 結果,這樣結果看起來像這樣
賬號 | name_first | name_last | 通話次數 | 值(電話號碼) | 值(活動摘要) | 值(電子郵件) | 受損帳戶 |
---|---|---|---|---|---|---|---|
123456678 | 約翰 | 史密斯 | 3個 | 1235550987 | 撤回詢問 | john.smith@company.com | jsmith001 26DEC2021 |
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.