Splunk查詢比較兩個字段，如果比較匹配，則從第三字段中選擇值

Question

我對splunk非常陌生，需要您的幫助來解決以下問題。

我有兩個CSV文件上傳到splunk實例中。下面提到的是每個文件及其文件。

1. Apple.csv

一個。 A1 b。 A2 c。 A3

Orange.csv

一個。 O1（可能與A3的值匹配）b。 O2

我的要求是如下：

Select set of values of A1,A2,A3 and O2 from Apple.csv and Orange.csv 
where A1=」X」 and A2=」Y」 and A3 = O1 

，並在表中顯示的值：

A1 A2 A3

XY 123

LP HJK 222

XY 999

O1 O2

999開放

123關閉

65432開放

輸出

A1 A2 A3 O2

X Y 123打開

X Y 999關閉

非常感謝你的幫助。

Answer 1

你能做到這一點

source="apple.csv" OR source="orange.csv" 
| eval grouping=coalesce(A3,O1) 
| stats first(A1) as A1 first(A2) as A2 first(A3) as A3 first(O2) as O2 by grouping 
| fields - grouping 

雖然我會認爲，考慮到事件的時間戳也可能是重要的......