如何根據 splunk 中基本搜索的字段值的部分匹配來搜索查找

Question

我正在嘗試合並 2 個搜索，其中外部搜索將值傳遞給內部搜索，然后附加結果。 讓我解釋：

截至目前，我正在搜索一組日志，其中恰好包括人們的姓名和他們致電銀行時的請求類型。 我關注的是“撤回詢問”。 因此，我們根據以下基本搜索獲得了所有嘗試取款的人的列表。

index=myIndex sourcetype=mySource request_type="withdraw inquiry"
| xmlkv DetailXML
| stats count, values(phone_number), values(activity_summary), values(request_type) values(email) by acct_num name_last name_first
| where count > 1
| sort - count

結果是一個看起來像這樣的表：

賬號	name_first	name_last	通話次數	值（電話號碼）	值（活動摘要）	值（電子郵件）
123456678	史密斯	約翰	3個	1235550987	撤回詢問	john.smith@company.com

這很好，但我想 append 或添加另一列，其中包含來自名為 Previously_Compromised_Accounts.csv 的查找表的信息，看起來像這樣

用戶	日期	intel_source
傑史密斯001	2021年12月26日	欺詐罪

這個想法是搜索查找表，使用來自 name_last 字段的部分匹配“smith”和 append 結果，這樣結果看起來像這樣

賬號	name_first	name_last	通話次數	值（電話號碼）	值（活動摘要）	值（電子郵件）	受損帳戶
123456678	約翰	史密斯	3個	1235550987	撤回詢問	john.smith@company.com	jsmith001 26DEC2021

Answer 1

在查找定義中啟用WILDCARD匹配，然后執行以下操作：

<first part of search>
| lookup mylookup user AS name_last OUTPUT date intel_source
<rest of search>

當然，這只有在用戶名包含真實姓名的各個方面時才有用

如果您有一個 John Smith，其用戶名是 rockinrutabega1970 或 829911882 或 sm792ask38...那么您將在眾所周知的小溪上嘗試“幫助”:)