如何在splunk數據模型約束中添加條件

Question

我有一個出站流程，可以獲取App，mem和cards api寫入的數據。卡和mem api正在將日誌寫入applog，但App正在將日誌寫入syslog。

在我的數據模型中，我有sourcetype = app_log作爲源類型。因此，除了應用程序以外的所有流程，我都會收到寫入splunk儀表板報告，但對於應用程序，我沒有收到任何數據。像

所以我想添加在數據模型中的條件「約束」部分時，API是應用程序，然後sourceType的= app_log OR sourceType的= sys_log 否則sourceType的= app_log

誰能幫助我如何做到這一點Splunk的？

Answer 1

如果您需要雙源類型，通常最好將根搜索/事件的那一部分用於繪製您希望用於數據模型的所有相關數據。

數據模型就像在雕塑上砍掉木頭一樣，所以如果通常更好地從所有數據開始，然後慢慢選擇想要看到的東西。

您可以將| where子句作爲約束條件添加，但是如果不在根事件中啓動它，則無法添加更多數據。

我的建議是這樣的事情在你的根搜索：

(index=index1 sourcetype=sourcetype1) OR (index=index2 sourcetype=sourcetype2) field=blah field=blah ....