我需要在Splunk中扩展多个MV字段。如果连续的每个字段具有相同的基数,则此处的答案有效。我的数据集中的一个字段有时会有一个值 - NULL - 在这种情况下,Splunk不包含整行。
https://answers.splunk.com/answers/25653/mvexpand-multiple-multi-value-fields.html https://answers.splunk.com/answers/123887/how-to-expand-multiple-multivalue-fields.html
如何让Splunk也包括它?
答案 0 :(得分:0)
答案可以在下面找到。基本上,如果字段不为null,则仅执行涉及maybe-null字段的查询部分:)