Splunk поиск вопросов

Question

Splunk поиск вопросов

Приведут ли следующие поиски к тем же результатам?
ПОИСК 1: ssh error
ПОИСК 2: ssh AND error
Не приведут ли следующие поиски к тому же результату?
ПОИСК 1: purchase
ПОИСК 2: action=purchase

0

splunk splunk-query splunk-formula splunk-calculation

Источник

user8662166 23 сен '17 в 19:34

2 ответа

Другие вопросы по тегам splunk splunk-query splunk-formula splunk-calculation

user8701874 30 сен '17 в 21:37 2017-09-30 21:37 · Answer 1 · 2017-09-30 21:37

В SPL условия начального поиска каждый рассматривается как ограничения для поиска (то есть AND).

Таким образом, эти два поиска идентичны...

"foo" "bar" 
"foo" AND "bar"

В SPL логические операторы должны быть в верхнем регистре. Таким образом, эти два поиска НЕ идентичны...

"foo" AND "bar"
"foo" and "bar"

... но эти два идентичны...

"foo" AND and AND "bar"
"foo" and "bar"

В SPL поисковый термин сам по себе будет возвращать каждое событие, которое содержит термин в любом поле, тогда как пара ключ-значение будет возвращать только события, которые содержат этот термин в этом поле.

Таким образом, эти два поиска НЕ идентичны, но могут возвращать один и тот же результат, если "foo" (A) никогда не встречалось ни в одном поле или (B) встречалось только в качестве значения в строке поля.

"foo"
bar="foo"

user8092700 30 сен '17 в 21:40 2017-09-30 21:40 · Answer 2 · 2017-09-30 21:40

Да и подразумевается..
Они НЕ будут возвращать одинаковые запросы. Пример включает в себя событие "Пользователь не приобрел этот товар" против действия "покупка", которое означает, что пользователь приобрел товар

0

Источник

user8092700 30 сен '17 в 21:40