sau*_*ary 8 splunk splunk-query
我运行查询并以表的形式获取 custId 列表。我如何将此结果传递到 IN 子句内的另一个搜索查询中。
例如:
搜索 1: index=* "成功登录"|表 custID 这为我提供了带有列 custID 的表。
然后我必须跑
index=* "邮件发送者"|where custID IN (搜索 1) |table CustID,_time
使用子搜索。您必须尝试format一些选项才能使输出与IN.
index=* "mail sent by"|where custID IN ([search index=* "successful login for"|fields custID | format]) |table CustID,_time
如果你不能得到format正确的输出,你可能不得不使用没有IN.
index=* "mail sent by"|where [search index=* "successful login for"|fields custID | format] |table CustID,_time
顺便说一句,index=*这对于生产来说不是一个好的做法。使用真实的索引名称可以获得更好的性能。
| 归档时间: |
|
| 查看次数: |
13290 次 |
| 最近记录: |