我想在splunk中使用查询,提取一个字段列表,然后使用这些结果字段来进一步过滤我的后续splunk查询。我该怎么做呢?使用另一个splunk查询的结果过滤splunk结果
3
A
回答
0
一种方法是将数据从第一次搜索传送到下一次,然后您可以进一步过滤结果。希望下面的简化搜索字符串会给你如何做到这一点的想法...
index=_internal | head 100 | fields host, sourcetype, source | search sourcetype="splunkd_access"
欲了解更多信息,我建议通过Splunk Search Reference
4
FORMAT命令读书可以为这个特别有用。这是一个过于简单化的例子,但应该给你一个如何使用它的想法:
首先,制定你的子搜索,将给你你关心的领域。以下是一个正常运行的示例:
|metadata type=hosts index=_internal | table host | format
尝试运行此搜索以查看其输出是什么样的。
然后,我们只是将其添加为您的实际搜索的subsearch:
index=foo sourcetype=bar [|metadata type=hosts index=_internal | table host | format]
,这将使你从指数FOO,sourceType的酒吧,并从subsearch每个主机的事件。
这实际上是一个非常强大的命令,因为您可以使用它来动态设置时间范围以及复杂的布尔过滤器。
相关问题
- 1. Splunk查询过滤结果
- 2. 过滤查询结果与另一查询结果
- 3. Splunk的雷克斯查询不会返回期望的结果
- 4. 如何从Splunk数据库中删除查询结果?
- 5. 查询Oracale数据库并在Splunk上显示结果
- 6. SPARQL查询过滤结果
- 7. 过滤查询结果
- 8. 使用Django中另一个查询集的结果过滤查询集
- 9. 将查询结果除以另一个查询的结果
- 10. 另一个查询的查询结果
- 11. 使用jQuery过滤mySQL查询结果
- 12. 使用另一个查询的结果对查询的结果进行排序
- 13. 在另一个查询中使用一个查询的结果
- 14. 如何使用查询集结果做一个过滤器Django
- 15. 用户过滤查询结果
- 16. 添加约束至Splunk的搜索产生多个结果行
- 17. 使用另一个查询的数组结果的mysql查询
- 18. 使用查询结果在同一个表上获得另一个结果
- 19. 基于另一个查询的结果获取结果
- 20. 如何从另一个查询结果MYSQL减去一个查询结果
- 21. 如何使用查询结果()中的另一个查询[笨]
- 22. 在另一个查询中使用Access查询的结果。
- 23. 使用查询结果作为参数的另一个查询
- 24. 过滤SQL查询返回的结果
- 25. 过滤器,PostgreSQL的查询结果
- 26. 查询cfquery或过滤的结果cfquery
- 27. LINQ查询的过滤结果:
- 28. 通过另一个wp过滤器过滤meta_query的Wordpress结果
- 29. 查询到遍历的Splunk
- 30. 滤波过滤一个暗号查询结果