我想加入一个子搜索与另一个搜索,但问题是:子搜索返回一个带有描述字段的字段(一个IP),我希望将其与任何具有内部搜索的src_ip或dst_ip的事件相匹配,
这样的事情: source =" source1" | join(src_ip或dst_ip)[search source =" source2" | table IP,description]
我不知道src_ip或dst_ip与"返回的IP" !
答案 0 :(得分:0)
它可能会带来一点开销,但你可以为源ip执行两次连续的内连接,然后为目标执行另一次内连接。