如果我的搜索结果包含一个名为“ Field1”的字段,并且其值类似于:
现在是Word1。
现在是Word2。
现在是WordX。
现在是WordZ。
下面是Word的查找表。
字段1
Word1
Word2
Word3
Word4
Word5
Word6
如何搜索,以便仅在输出结果下方显示,因为它们包含查找表中的“ Word1”和“ Word2”?
现在是Word1。
现在是Word2。
答案 0 :(得分:1)
一种方法是在子搜索中读取查找文件。
index=foo [ | inputlookup words.csv | format ]
format命令将查找文件的内容设置为field = value格式,因此最终查询变为index=foo ((field1=Word1) OR (field1=Word2))。