我希望搜索的字段与其中的任何值匹配 查找表。
现在,我在查询中使用了以下位置。但是,我仍然想使用查找表进行查询,而不是使用 in 子句手动将所有这些值放在双引号中。
|where in(search,"abcd","bcda","efsg","zyca");
答案 0 :(得分:0)
首先,您需要在Splunk查找管理器中创建一个lookup field。您可以在此处指定CSV文件或KMZ文件作为查找。您还将在此处命名查找定义。确保与将使用此查找定义的应用程序共享。
创建了查找定义后,就可以在带有Lookup Command的查询中使用它。假设您将查找定义命名为“ my_lookup_csv”,并且搜索中的查找列为“ event_column”,而csv列名称为“ column1”,“ column2”,等等。您的搜索查询现在以以下结尾:
| lookup my_lookup_csv column1 as event_column