在 Splunk 的搜索查詢中使用表中的參數
[英]Use Parameters in Table in Search Query in Splunk
問題描述
我在 Splunk 中有一個保存的表數據集。 當我選擇“在搜索中調查”這個表數據集時,我看到
樣品 1
| from datamodel:"My_Table_ForDay"
SPL My_Table_ForDay如下所示:
樣品 2
index="my_index"
sourcetype="*"
earliest=@d
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
我想在不同的日子里重復使用My_Table_ForDay 。 換句話說,我想將一個值傳遞給查詢中使用的數據模型。 我想為earliest的屬性使用一個參數。 例如,我將傳遞以下參數值:
- 今天:
@d - 昨天:
-1d@d - 兩天前:
-2d@d
我如何 a) 傳遞樣本 1 中的值和 b) 使用樣本 2 中的參數?
謝謝你。
1 個解決方案
解決方案1
0 已采納 2022-05-18 16:41:45
from命令不支持傳遞參數。 但是, savedsearch命令可以。 您可以將 Sample2 保存為此已保存的搜索
index="my_index"
sourcetype="*"
earliest=$earliest_time$
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
然后使用 `| 調用它 savedsearch My_Table_ForDay early_time="@d"。 有關詳細信息,請參閱https://docs.splunk.com/Documentation/Splunk/8.2.6/SearchReference/Savedsearch 。
Splunk 搜索查詢語法?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.