我想在splunk中使用查詢,提取一個字段列表,然後使用這些結果字段來進一步過濾我的後續splunk查詢。我該怎麼做呢?使用另一個splunk查詢的結果過濾splunk結果
3
A
回答
0
一種方法是將數據從第一次搜索傳送到下一次,然後您可以進一步過濾結果。希望下面的簡化搜索字符串會給你如何做到這一點的想法...
index=_internal | head 100 | fields host, sourcetype, source | search sourcetype="splunkd_access"
欲瞭解更多信息,我建議通過Splunk Search Reference
4
FORMAT命令讀書可以爲這個特別有用。這是一個過於簡單化的例子,但應該給你一個如何使用它的想法:
首先,制定你的子搜索,將給你你關心的領域。以下是一個正常運行的示例:
|metadata type=hosts index=_internal | table host | format
嘗試運行此搜索以查看其輸出是什麼樣的。
然後,我們只是將其添加爲您的實際搜索的subsearch:
index=foo sourcetype=bar [|metadata type=hosts index=_internal | table host | format]
,這將使你從指數FOO,sourceType的酒吧,並從subsearch每個主機的事件。
這實際上是一個非常強大的命令,因爲您可以使用它來動態設置時間範圍以及複雜的布爾過濾器。
相關問題
- 1. Splunk查詢過濾結果
- 2. 過濾查詢結果與另一查詢結果
- 3. Splunk的雷克斯查詢不會返回期望的結果
- 4. 如何從Splunk數據庫中刪除查詢結果?
- 5. 查詢Oracale數據庫並在Splunk上顯示結果
- 6. SPARQL查詢過濾結果
- 7. 過濾查詢結果
- 8. 使用Django中另一個查詢集的結果過濾查詢集
- 9. 將查詢結果除以另一個查詢的結果
- 10. 另一個查詢的查詢結果
- 11. 使用jQuery過濾mySQL查詢結果
- 12. 使用另一個查詢的結果對查詢的結果進行排序
- 13. 在另一個查詢中使用一個查詢的結果
- 14. 如何使用查詢集結果做一個過濾器Django
- 15. 用戶過濾查詢結果
- 16. 添加約束至Splunk的搜索產生多個結果行
- 17. 使用另一個查詢的數組結果的mysql查詢
- 18. 使用查詢結果在同一個表上獲得另一個結果
- 19. 基於另一個查詢的結果獲取結果
- 20. 如何從另一個查詢結果MYSQL減去一個查詢結果
- 21. 如何使用查詢結果()中的另一個查詢[笨]
- 22. 在另一個查詢中使用Access查詢的結果。
- 23. 使用查詢結果作爲參數的另一個查詢
- 24. 過濾SQL查詢返回的結果
- 25. 過濾器,PostgreSQL的查詢結果
- 26. 查詢cfquery或過濾的結果cfquery
- 27. LINQ查詢的過濾結果:
- 28. 通過另一個wp過濾器過濾meta_query的Wordpress結果
- 29. 查詢到遍歷的Splunk
- 30. 濾波過濾一個暗號查詢結果