在Splunk中,我需要将搜索结果客户端IP列表与输入查找CSV文件knownip.csv匹配。我想要的结果与CSV文件不匹配。
第1步。已将已验证的已知IP列表创建为保存在本地系统中的CSV文件
第2步。导航经理>查找>添加新>查找表文件
第3步。上传我的文件并将其命名为KnownIP.csv。现在在经理>下查找>添加新>查找定义我有name=clientIP,lookup-file=KnownIP.csv。
第4步。现在我定义了我的搜索查询:
search NOT[|inputlookup Lookupfile | fields Name ] index=* serverName>servername113
| rex field=clientIP "(?<clientIP>\d+.\d+.\d+)"
| stats count by clientIP
| search NOT [|inputlookup append=t KnownIP.csv|fields clientIP]
正如我所说,我需要帮助让这个搜索与CSV文件匹配。