我有两个宏a和b,都输出一个表。
如何创建查询以获取包含两个宏的合并结果的表?
答案 0 :(得分:0)
很难说没有正在使用的宏,但是我认为您可以使用append函数:
`macro1\` | append [`macro2`] | table fieldNames1 fieldNames2 ...
这将附加来自两个搜索的事件并创建一个新表。
编辑(以回答评论):
您可以尝试使用return函数来动态创建搜索:
|inputlookup lookupname | search component_name=componentName |eval macros = "`".macro_name."`"| return 999 $macros
将重新运行`macro1``macro2`
希望这会有所帮助!