Splunk無法查找

Question

我想通過將IP地址與子網掩碼進行匹配來過濾搜索。 我提取了ip_address字段。

我創建了一個名爲AP-Subnet.csv

subnets,ap 
10.24.0.0/14,YES 
163.243.193.0/24,YES 
10.120.250.0/24,YES 
10.124.248.0/21,YES 

查找表文件。然後，我創建查找定義AP_subnet_lookups

這是我的搜索

sourcetype="logs" |transaction ip_address |lookup AP_subnet_lookups subnets |table eventcount ip_address hostname 

搜索結果包含其他的IP地址d與面具不匹配。

我該如何更改我的搜索？

Answer 1

在transforms.conf中設置match_type = CIDR(subnets)。

如果您在搜索應用程序中通過GUI修改了您的查找，您的transforms.conf可能位於$SPLUNK_HOME/etc/apps/search/local/。

如果找不到它，請使用./splunk cmd btool transforms list --debug來定位它。