Под поиск, чтобы искать поле, состоящее из рекс в основном поиске
Мой подпоиск содержит это предопределенное поле, и я пытаюсь использовать его для поиска по основному поиску, который получает поле с использованием rex, но я не получаю результатов.
Я пробовал несколько разных вещей:
host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."
host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]
host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]
Кто-нибудь знает, как я могу пойти по этому поводу?
3 ответа
Вы пробовали ниже?
host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field]
Кроме того, если вы определите свой рекс в props.conf, вы также можете удалить его. Как Splunk будет автоматически извлекать поле во время поиска!
Если вы пытаетесь использовать подпоиск для очистки результирующего набора вашего корневого поиска, который имеет | rex Команда в этом для этого поля не будет работать.
подпоиск - это совершенно другой поиск, не зависящий от набора результатов предыдущего поиска, поэтому он создает свой собственный набор результатов.
Один из способов сделать то, что вы просите в Splunk, это сделать поле в props.conf
[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"
затем в зависимости от того, что вы делаете, может быть, используя | streamstats или же | eventstats команда
Если my_field является обязательным полем из под-поиска, попробуйте,
host=blah... |join my_field [search...| table my_field] | ..