我是Splunk的新手,我正在编写一个Splunk查询,该查询从仪表板上的下拉选项中获取键,然后我想提取与该键关联的另一行(特别是域) csv文件,然后在搜索中使用它按域对其进行过滤。
我当前编写的查询是:
basequery
| lookup tenant.csv key as tenant_key output domain as Domain
| search tenant_key = $selected_client$
| stats count
我只想显示按与下拉列表提供的键关联的域过滤的计数。我不太确定哪里出了问题或如何解决。
答案 0 :(得分:0)
尝试此查询。在基本查询中放置tenant_key会将搜索限制为与所选客户端发生的事件。然后,查找将租户映射到域。最后,算一下。
basequery tenant_key=$selected_client$
| lookup tenant.csv key as tenant_key output domain as Domain
| stats count