如何解决Splunk:基于子字符串匹配来连接两个索引
我正在努力根据子字符串匹配来连接两个索引。
我有以下索引:
index1 :
having following fields
PROTOCOL,DIRECTION,FILENAME,DIRECTORYNAME
index2:
having following fields
APPID,CUSTOMERID,FILEPATTERN,DIRECTORYNAME
我想根据以下条件加入以上索引
-
FILEPATTERN是FILENAME的子字符串
-
索引1中的DIRECTORYNAME =索引2中的DIRECTORYNAME。
并显示带有以下字段的输出
PROTOCOL,APPID,DIRECTORYNAME
感谢您的期待
致谢
尼基尔
解决方法
首先使用stats
命令合并两个索引。
index=index1 OR index=index2
| stats values(*) as * by DIRECTORYNAME
这应该产生包含字段DIRECTORYNAME
,APPID
,CUSTOMERID
,DIRECTION
,FILENAME
,FILEPATTERN
,PROTOCOL
的结果
然后,您可以根据FILENAME
和FILEPATTERN
之间的关系进行过滤:
| where match(FILENAME,FILEPATTERN)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。