如何解决如何在 Splunk 中访问案例内的数组值?
我是 Splunk 的新手,需要以下方面的帮助:
- authIndexValue[] 是一个至少包含一个值的数组
- 我想从 eval 语句中的 case 内部访问它的值,但我得到 此错误:未知搜索命令“0”。
- 我也尝试过 http.request.queryParameters.authIndexValue{},但没有成功
在 eval 行下方:
..search
| eval EventType=case(http.request.queryParameters.authIndexValue[0]==Login_FooBar,"LOGIN")
我怎样才能做到这一点?
谢谢。
解决方法
Splunk 没有“数组”
要访问/使用它们执行任何操作,您需要使用多值命令/函数
- 多值评估函数 - https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/MultivalueEvalFunctions
- 多值统计函数 - https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Multivaluefunctions
在您的示例中,您希望执行类似以下操作:
<search>
| eval EventType=case(mvindex(http.request.queryParameters.authIndexValue,0)==Login_FooBar,"LOGIN",mvindex(http.request.queryParameters.authIndexValue,0)==Login_BarFoo,"not a good login",1=1,"error state")
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。