Splunk 加入内存记录
Splunk join with an in-memory record
抱歉这个蹩脚的问题,我是 Splunk 的新手。
我想做的是将我的搜索结果与搜索主体中声明的虚假记录结合起来,例如
index=...
| joint type=outer <column>
[ | <here declare a record to join with>
......
目的是确保搜索结果中至少有一条记录。预计会出现以下情况:
- 原搜索returns条记录
- 原来的搜索没有return任何东西,因为结果被过滤了
- 原始搜索 return 没有任何内容,因为源是空的
我需要区分情况 2 和情况 3,这是连接的目的。假记录会排除案例3,所以我只需要过滤结果。
有更好的方法来处理没有返回结果的情况。使用 appendpipe
命令测试该条件并添加后续命令所需的字段。
| appendpipe [ stats count | eval column="The source is empty"
| where count=0 | fields - count ]
抱歉这个蹩脚的问题,我是 Splunk 的新手。
我想做的是将我的搜索结果与搜索主体中声明的虚假记录结合起来,例如
index=...
| joint type=outer <column>
[ | <here declare a record to join with>
......
目的是确保搜索结果中至少有一条记录。预计会出现以下情况:
- 原搜索returns条记录
- 原来的搜索没有return任何东西,因为结果被过滤了
- 原始搜索 return 没有任何内容,因为源是空的
我需要区分情况 2 和情况 3,这是连接的目的。假记录会排除案例3,所以我只需要过滤结果。
有更好的方法来处理没有返回结果的情况。使用 appendpipe
命令测试该条件并添加后续命令所需的字段。
| appendpipe [ stats count | eval column="The source is empty"
| where count=0 | fields - count ]