Splunk查询比较两个字段，如果比较匹配，则从第三字段中选择值

Question

我对splunk非常陌生，需要您的帮助来解决以下问题。

我有两个CSV文件上传到splunk实例中。下面提到的是每个文件及其文件。

1. Apple.csv

一个。 A1 b。 A2 c。 A3

Orange.csv

一个。 O1（可能与A3的值匹配）b。 O2

我的要求是如下：

Select set of values of A1,A2,A3 and O2 from Apple.csv and Orange.csv 
where A1=”X” and A2=”Y” and A3 = O1 

，并在表中显示的值：

A1 A2 A3

XY 123

LP HJK 222

XY 999

O1 O2

999开放

123关闭

65432开放

输出

A1 A2 A3 O2

X Y 123打开

X Y 999关闭

非常感谢你的帮助。

Answer 1

你能做到这一点

source="apple.csv" OR source="orange.csv" 
| eval grouping=coalesce(A3,O1) 
| stats first(A1) as A1 first(A2) as A2 first(A3) as A3 first(O2) as O2 by grouping 
| fields - grouping 

虽然我会认为，考虑到事件的时间戳也可能是重要的......