如何解决如何基于共享列在Splunk中联接2个表?
我正在发送Splunk 2数据集,如下所示:
数据集1:
- first_name: David
- middle_name: Foe
- last_name: Creek
- job_title: accountant
- jobs_finished: 10
和数据集2:
- first_name: Alexis
- middle_name: Stu
- last_name: Ronald
- job_title: accountant
- num_jobs_must_finish: 20
我正在尝试基于“ job_title”将两个数据集合并。我希望返回的结果看起来像:
- first_name: David
- middle_name: Foe
- last_name: Creek
- job_title: accountant
- jobs_finished: 10
- num_jobs_must_finish: 20
关于搜索查询需要什么样的想法? 我在做:
index="job_index" middle_name="Foe" | join job_title [search index="job_index" middle_name="Stu"]
解决方法
您的查询应该可以进行一些细微调整。
some_value = 20
greater_than_some_value = summed[summed >= some_value]
print(greater_than_some_value)
array([31,21,28,30,20])
如果每个数据集中始终使用一个事件,那么index="job_index" middle_name="Foe"
| join type=left job_title [search index="job_index" middle_name="Stu"]
的效果可能会更好。
appendcols
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。