我的子搜索包含此预定义字段,我正在尝试使用它来搜索使用rex获取字段的主搜索,但是我没有得到任何结果。
我尝试过几件不同的事情:
host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."
host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]
host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]
任何人都知道如何解决这个问题?
答案 0 :(得分:0)
如果my_field是子搜索中的必填字段, 尝试,
host=blah... |join my_field [search...| table my_field] | ..
答案 1 :(得分:0)
你试过以下吗?
host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field]
此外,如果您在props.conf中定义rex,也可以删除rex部分。因为splunk会在搜索时自动提取字段!
答案 2 :(得分:0)
如果您尝试使用子搜索来清除根搜索的结果集,该搜索结果集中包含| rex命令,则该字段将不起作用。
子搜索是一种完全不同的搜索,不依赖于任何先前搜索的结果集,因此它创建了自己的结果集。
在Splunk中执行您所要求的一种方法是在props.conf中创建该字段
[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"
然后取决于您正在做什么,可能使用| streamstats或| eventstats命令