這是在我的日誌file.I行希望得到的是沒有價值PAMapped在Splunk的搜索如何獲得,有一個領域的所有情況下,沒有任何價值
2012-10所有searchTerms -29 11:20:21711 - SEARCHTERM =超速&位置= Soperton%2C + GA & PAMapped =
這是我給搜索。
指數= Savvis的清漆主機= 「dell1000a-12」 源= 「/ flocal /日誌/ lawyers.findlaw.com /搜索-mapping.log」 NOT PAMapped = *最早= -1mon @週一
但它不返回所有實例。它只返回一個。
我假設PAMapped領域已經提取...
我會用fillnull命令(docs)爲一個通用值在這個字段添加到所有空值。這將允許在具有NULL值的字段上進行更簡單的過濾,就像在你的用例中那樣。
例如,你很可能做這樣的事情:
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" [email protected] | fillnull value=NULL PAMapped | search PAMapped=NULL
這可能不是最effecient搜索,但它可能會擴展更好的潛力。
您也可以嘗試使用where命令來篩選結果(docs1 & docs2),像下面這樣可以工作:
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" [email protected] | where isnull(PAMapped)
希望這有助於。
P.S.您可以在SplunkBase官方Splunk論壇上找到更多有用且迅速的響應。
嘗試此查詢:
index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" [email protected] | where isnull(PAMapped)