我是使用Splunk的新手,希望在组合两个搜索结果并组织它时获得一些帮助,以便显示来自两个搜索的匹配信息。
所以我正在搜索的内容如下所示。 (我必须编辑一些安全信息)
index=INDEX sourcetype=SOURCETYPE authresult (UNIQUEID)
这将为我提供几个事件,其中包含我正在搜索的内容的必要字段,但我需要将此搜索中的字段UNIQUEHASH与另一个类似搜索的相同字段进行比较{{1} }。我只想从UNIQUEID获取信息,如果两个搜索都包含相同的值以及返回的次数。
因此,如果我搜索UNIQUEHASH并使用以下UNIQUEID1值获取以下数量的事件。
UNIQUEHASH我想对提供以下UNIQUEHASH Times
123 10
456 20
789 30
值的UNIQUEID2进行相同的搜索。
UNIQUEHASH通过这两次搜索,我想将它们合并到一个简单的表格中UNIQUEHASH Times
123 20
789 400
以及每个UNIQUEHASH返回该数量的次数。因此,在此示例中,不包括UNIQUEID w / a值456,因为UNIQUEHASH不返回任何值。
UNIQUEID2