在 splunk 中,如果我们想添加多个过滤器,我们如何轻松做到这一点。例如:-
index=indexer action= Null NOT IP IN (10.34.67.32 , 87.90.32.10.. 等等)
现在的问题是我是否有 519 IP 想从结果中排除,我们如何轻松做到这一点..
我已经尝试过下面的代码,但是编写查询需要更多时间
index = indexer action =Null IP!=10.34.67.32 IP!=87.90.32.10 依此类推..
问问题
326 次
2 回答
3
我建议您创建一个 CSV 文件,其中包含您希望从搜索中排除的 IP。
IP
10.34.67.32
87.90.32.10
...
使用此文件作为源创建查找(请参阅https://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Usefieldlookupstoaddinformationtoyourevents)。让我们调用查找excluded_ips。
现在,您可以执行以下搜索以从该文件中排除 IP
index=indexer action= Null NOT [ | inputlookup excluded_ips | fields IP | format ]
该format命令会将 IP 列表更改为((IP=10.34.67.32) OR (IP=87.90.32.10)). 所以运行的扩展搜索是
index=indexer action= Null NOT ((IP=10.34.67.32) OR (IP=87.90.32.10))
于 2020-06-10T00:48:32.077 回答
0
如果总 IP 地址为 600,并且您希望排除 519,则可以使用
index=indexer action=Null IP IN (10.34.67.31 , 87.90.32.11 ... so on)
此外,如果您不想要特定的 IP 地址范围,您可以根据正则表达式或通配符排除或包含它们。
虽然,如果您确实拥有大量 IP 地址,上述答案也很有用。
于 2020-07-14T05:28:21.750 回答