在 Splunk 的搜索查询中使用 Table 中的参数
Use Parameters in Table in Search Query in Splunk
我在 Splunk 中保存了一个 table 数据集。当我选择“调查搜索”这个 table 数据集时,我看到
样本 1
| from datamodel:"My_Table_ForDay"
SPL My_Table_ForDay 如下所示:
样本 2
index="my_index"
sourcetype="*"
earliest=@d
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
我想在不同的日子重复使用 My_Table_ForDay。换句话说,我想将一个值传递给查询中使用的数据模型。我想为 earliest 属性使用一个参数。例如,我将传递以下参数值:
- 今天:
@d
- 昨天:
-1d@d
- 两天前:
-2d@d
我如何 a) 传递示例 1 中的值和 b) 在示例 2 中使用参数?
谢谢。
from 命令不支持传递参数。但是,savedsearch 命令可以。您可以将 Sample2 保存为这个已保存的搜索
index="my_index"
sourcetype="*"
earliest=$earliest_time$
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
然后使用`|调用它savedsearch My_Table_ForDay earliest_time="@d"。有关详细信息,请参阅 https://docs.splunk.com/Documentation/Splunk/8.2.6/SearchReference/Savedsearch。
我在 Splunk 中保存了一个 table 数据集。当我选择“调查搜索”这个 table 数据集时,我看到
样本 1
| from datamodel:"My_Table_ForDay"
SPL My_Table_ForDay 如下所示:
样本 2
index="my_index"
sourcetype="*"
earliest=@d
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
我想在不同的日子重复使用 My_Table_ForDay。换句话说,我想将一个值传递给查询中使用的数据模型。我想为 earliest 属性使用一个参数。例如,我将传递以下参数值:
- 今天:
@d - 昨天:
-1d@d - 两天前:
-2d@d
我如何 a) 传递示例 1 中的值和 b) 在示例 2 中使用参数?
谢谢。
from 命令不支持传递参数。但是,savedsearch 命令可以。您可以将 Sample2 保存为这个已保存的搜索
index="my_index"
sourcetype="*"
earliest=$earliest_time$
latest=now
| fields
_time
statusCode
result
| table
_time
statusCode
result
然后使用`|调用它savedsearch My_Table_ForDay earliest_time="@d"。有关详细信息,请参阅 https://docs.splunk.com/Documentation/Splunk/8.2.6/SearchReference/Savedsearch。