如何检查多值字段是否包含Splunk中其他字段的值
How to check if the multi-value field contains the value of the other field in Splunk
我需要根据同一事件的多值字段(例如mv_field)中是否存在另一个事件字段(例如某个字段)来设置字段值
这是一个示例查询,它没有像我预期的那样工作,因为 ext_field 始终具有值“value_if_true”
| ...
| eval ext_field = if(in(mv_field, field), "value_if_true", "value_if_false")
| ...
你能告诉我我做错了什么吗?
谢谢!
我自己找到了答案,相信它会对某人有所帮助;)
| ...
| eval ext_field = if(isnull(mvfind(mv_field, field)), "value_if_false", "value_if_true")
| ...
我需要根据同一事件的多值字段(例如mv_field)中是否存在另一个事件字段(例如某个字段)来设置字段值
这是一个示例查询,它没有像我预期的那样工作,因为 ext_field 始终具有值“value_if_true”
| ...
| eval ext_field = if(in(mv_field, field), "value_if_true", "value_if_false")
| ...
你能告诉我我做错了什么吗?
谢谢!
我自己找到了答案,相信它会对某人有所帮助;)
| ...
| eval ext_field = if(isnull(mvfind(mv_field, field)), "value_if_false", "value_if_true")
| ...