我的子搜索包含这个预定义的字段,我正在尝试使用它来搜索我的主搜索,该搜索使用 rex 获取该字段,但我没有得到任何结果。
我尝试了一些不同的东西:
host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."
host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]
host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]
有人知道我该怎么做吗?
如果 my_field 是子搜索中的必填字段,请尝试,
host=blah... |join my_field [search...| table my_field] | ..
如果您尝试使用子搜索来清理根搜索的结果集,| rex其中包含该字段的命令,它将不起作用。
子搜索是完全不同的搜索,不依赖于任何先前搜索的结果集,因此它创建了自己的结果集。
在 Splunk 中完成您所要求的一种方法是在 props.conf 中创建该字段
[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"
然后取决于你在做什么,也许使用| streamstatsor| eventstats命令
你试过下面的吗?
host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field]
此外,如果你在 props.conf 中定义你的 rex,你也可以删除 rex 部分。因为 splunk 会在搜索时自动提取字段!