Splunk 加入内存记录

Splunk join with an in-memory record

抱歉这个蹩脚的问题,我是 Splunk 的新手。

我想做的是将我的搜索结果与搜索主体中声明的虚假记录结合起来,例如

index=... 
| joint type=outer <column> 
[ | <here declare a record to join with> 
......

目的是确保搜索结果中至少有一条记录。预计会出现以下情况:

  1. 原搜索returns条记录
  2. 原来的搜索没有return任何东西,因为结果被过滤了
  3. 原始搜索 return 没有任何内容,因为源是空的

我需要区分情况 2 和情况 3,这是连接的目的。假记录会排除案例3,所以我只需要过滤结果。

有更好的方法来处理没有返回结果的情况。使用 appendpipe 命令测试该条件并添加后续命令所需的字段。

| appendpipe [ stats count | eval column="The source is empty" 
  | where count=0 | fields - count ]