标签: splunk spl splunk-query
我正在尝试创建一个关联搜索,该搜索将导入一个名为ExpiredIdentities.csv的查找表,然后它将“标识”字段和“过期”字段中的所有条目都作为对象,并对与该标识相关联的任何活动(事件)运行独立搜索过期字段中的日期过后,谢谢您的帮助。
| inputlookup ExpiredIdentities.csv |搜索标识=“ *” |就目前为止,我需要它获取身份字段中的所有条目并搜索过期日期字段之后的所有事件|然后输出lookupup ExpiredIdentityActivity.csv