是否可以有条件地应用过滤器,例如基于dedup语句或if的{{1}}
例如:
where或者:
(initial search)
| dedup field(s) | where var1=true
| table field(s)
答案 0 :(得分:0)
dedup命令没有条件选项,也不能有条件地执行Splunk命令。
单击复选框时,将标记设置为“重复字段”;否则,将其设置为“ noop”。在搜索中引用令牌。 (初始搜索)| $ token $ |表格字段