0

我有两个特定的搜索字符串用于缩小搜索范围,格式为: index=someIndex "searchtermA" OR "searchTermB" | ....我希望能够绘制这两个值的图表(作为它们自己在一个图表中的唯一计数),但是事实证明,在为这两个搜索词进行字段提取时,字段提取存在太多问题。它们也不是事件或源或源类型。

因此,我一直在尝试查看 eval 是否可以以某种方式制作一种标记并将其设置为该搜索词,以便图表/统计信息/等可以使用它。

任何帮助将不胜感激!

4

1 回答 1

0

我不确定你想要做什么会奏效。

我们尝试解决您原来的字段提取问题如何?告诉我们更多相关信息,也许我们可以建议修复或更好的解决方法。

于 2018-06-19T13:10:45.277 回答