我有2个文件,其中订单数据保存在splunk中的两种不同的源类型中。 一个文件包含一个订单编号,plnum(前缀+订单编号(一个订单编号包含3个plnum)),模型(订单的类型)。第二个文件包含与这些plnum相同的plnum和Materialnumber。
我想搜索用于一个或多个模型的顶级材料。
所以我搜索了如何设置子搜索:
sourcetype=file1 [search sourcetype=file2 MODEL="someting"| fields MODEL] |stats values(MATNR) by MODEL
我不知道为什么子搜索不起作用。
答案 0 :(得分:0)
自行运行子搜索以验证其是否起作用并产生预期的结果。我怀疑它正在工作,并以foo bar baz...的形式返回PLNUM列表。 Splunk在搜索词之间放置一个隐式AND,因此您的主要搜索是查找包含所有PLNUM的事件,这不太可能。
尝试在子搜索中使用format。它以foo OR bar OR baz...格式返回结果,在主要搜索中应该会更好。
sourcetype=file1 [search sourcetype=file2 MODEL="someting"| fields PLNUM | format] |stats values(MATNR) by PLNUM