在不知道字段名称的情况下在 Splunk 中进行多字段搜索
Multifields search in Splunk without knowing field names
有两个值V1和V2,我不知道索引字段名称。如果我想在选择响应中包含以下内容,应该如何查看请求:
unknown-field-name1 = V1
unknown-field-name2 = V2
我是 Splunk 世界的初学者,只是尝试使用“V1 AND V2”,但它不起作用。
不知道字段名称 肯定 稍后处理它时会很棘手,但您要做的是:
index=ndx sourcetype=srctp "V1" "V2"
Be default, Splunk ANDs all search 项。
因此,如果您在同一事件中查找“V1”和“V2”,则只需引用您要查找的所有单独术语。
根据您的数据,您也可以使用 TERM() 获得更好的性能:
index=ndx sourctype=srctp TERM("V1") TERM("V2")
有两个值V1和V2,我不知道索引字段名称。如果我想在选择响应中包含以下内容,应该如何查看请求:
unknown-field-name1 = V1
unknown-field-name2 = V2
我是 Splunk 世界的初学者,只是尝试使用“V1 AND V2”,但它不起作用。
不知道字段名称 肯定 稍后处理它时会很棘手,但您要做的是:
index=ndx sourcetype=srctp "V1" "V2"
Be default, Splunk ANDs all search 项。
因此,如果您在同一事件中查找“V1”和“V2”,则只需引用您要查找的所有单独术语。
根据您的数据,您也可以使用 TERM() 获得更好的性能:
index=ndx sourctype=srctp TERM("V1") TERM("V2")