我想在splunk中使用查询,提取字段列表,然后使用这些结果字段来进一步过滤我后续的splunk查询.我该怎么做呢?
小智 5
FORMAT命令对此特别有用.这是一个过于简单的例子,但应该让你知道它是如何使用的:
首先,制作您的子搜索,它将为您提供您关注的字段.这是一个有效的例子:
|metadata type=hosts index=_internal | table host | format
尝试自己运行此搜索以查看输出结果.
然后我们将其添加为您的真实搜索的子搜索:
index=foo sourcetype=bar [|metadata type=hosts index=_internal | table host | format]
这将为您提供来自索引foo,sourcetype bar和来自子搜索的每个主机的事件.
这实际上是一个非常强大的命令,因为您可以使用它来动态设置时间范围以及复杂的布尔过滤器.
| 归档时间: |
|
| 查看次数: |
19931 次 |
| 最近记录: |