我想添加一个检查令牌是否仅与dtoken匹配,然后返回这些结果。我怎么做。任何对此的提示将不胜感激。
现在查询正在打印所有与多重搜索匹配的结果。我想确保匹配时第一个索引的令牌和第二个索引的令牌返回结果,否则不返回。
尝试了很多东西,例如放置箱子等,但没有得到我期望的结果,有什么想法可以实现这一目标吗?
| multisearch [search index=my_index source="access.log" HTTPMETHOD:POST AND STATUS:200 "/tokens"| extract pairdelim="|", kvdelim=":",auto=f | eval token =TOKENID | eval req =URI|eval req ="tokenization"] [search index=my_index source="access.log" detokenize HTTPMETHOD:POST AND STATUS:200 OR STATUS:203 AND "CACHE:0,0,1" | extract pairdelim="|", kvdelim=":",auto=f | eval dtoken =TOKENID | eval req =URI |eval req ="detokenization"] | table req,TOKEN_ID,_time,host,CACHE