如何 use/do 在 Splunk 搜索查询中查找列中的位置
How to use/do where in column of a lookup in Splunk Search Query
I want the search with a field which match with any of the values in
look up table.
目前,我在查询中使用了以下where。但是,我仍然想使用 Look up table 进行查询,而不是使用 in 子句手动将所有这些值放在双引号中。
|where in(search,"abcd","bcda","efsg","zyca");
首先,您需要在 Splunk 查找管理器中创建一个 lookup field。您可以在此处指定 CSV 文件或 KMZ 文件作为查找。您还将在此处命名查找定义。请务必与将使用它的应用程序共享此查找定义。
创建查找定义后,您可以在 Lookup Command 的查询中使用它。假设您将查找定义命名为 "my_lookup_csv",并且您在搜索中的查找列是 "event_column",并且您的 csv 列名称是 "column1"、"column2" 等。您的搜索查询将现在结束于:
| lookup my_lookup_csv column1 as event_column
I want the search with a field which match with any of the values in look up table.
目前,我在查询中使用了以下where。但是,我仍然想使用 Look up table 进行查询,而不是使用 in 子句手动将所有这些值放在双引号中。
|where in(search,"abcd","bcda","efsg","zyca");
首先,您需要在 Splunk 查找管理器中创建一个 lookup field。您可以在此处指定 CSV 文件或 KMZ 文件作为查找。您还将在此处命名查找定义。请务必与将使用它的应用程序共享此查找定义。
创建查找定义后,您可以在 Lookup Command 的查询中使用它。假设您将查找定义命名为 "my_lookup_csv",并且您在搜索中的查找列是 "event_column",并且您的 csv 列名称是 "column1"、"column2" 等。您的搜索查询将现在结束于:
| lookup my_lookup_csv column1 as event_column