标签: splunk splunk-query
我正在运行查询:
index=<abc> sourcetype=<sourcetype> "EventName: [*"|rex field=_raw ".*?EventName: \[(?<EventName>[^\]]+)" | table EventName
这将使用所有事件名称填充表,我需要使用所有唯一事件名称填充下拉列表。如果我像这样uniq仍然会返回一些重复的事件。
任何想法都可以解决。请尽可能指向文档