我在Splunk中有许多单独的记录,所有记录都具有一个公共的X字段,我正尝试将它们合并。
例如
User-name=JG, srcIP=10.0.0.1
User-name=JG,file=jg.docx
User-name=JG, dstIP=10.1.1.0
User-name=JG,Email=jg@jg.com
User-name=AB, srcIP=10.0.0.2
User-name=AB,file=AB.docx
User-name=AB, dstIP=10.2.2.0
User-name=AB,Email=AB@AB.com
我想进行以下搜索:将所有与User-name字段匹配的记录分组,并允许我操作这些字段。
例如
USERNAE, srcIP, file, dstIP, Email
JG, 10.0.0.1, jg.docx, 10.1.1.0, jg@jg.com
AB, 10.0.0.2, AB.docx, 10.2.2.0, AB@AB.com
谢谢!
答案 0 :(得分:2)
您可以签出stats命令来执行此操作:
your search
| stats latest(srcIP) as srcIP, latest(file) as file, latest(dstIP) as dstIP, latest(email) as email by User-name
然后您可以在这些字段上执行任何想要的操作。最新功能将为您提供该用户名的srcIP /文件等的最新值。