如何在查詢中使用 Splunk 函數
[英]How to use Splunk functions in the query
問題描述
這里的任何人都知道如何在 Splunk 查詢中使用內置函數(案例)? 我發現的所有示例都是處理查詢結果(我不能把它放在 eval 或 | 之后)
我需要類似的東西。
index=case(indexVar == "qa", "qa-all", indexVar == "prod", "prod-all") sourcetype="kube:container:rail-service"
OBS 我不能只連接 indexVar + "-all"
1 個解決方案
解決方案1
1 2022-08-24 23:40:39
function case可能是內置的,但這並不意味着您可以在任何地方使用它。 它僅對eval 、 fieldformat和where命令有效。
一種解決方法是將eval放在子搜索中。
sourcetype="kube:container:rail-service" [
| makeresults
| eval index=case(indexVar == "qa", "qa-all", indexVar == "prod", "prod-all")
| fields index ]
如何在單個 Splunk 儀表板查詢中使用來自 2 個時間范圍輸入的標記?
[英]How to use tokens from 2 time range inputs in single Splunk dashboard query?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.