在 splunk 报告中,如果 CSV/splunk 中没有数据,我们能否在附加的 CSV 中至少获得标题(列名)。如果没有数据,那么它也应该至少显示标题名称..
问问题
44 次
1 回答
0
如果没有结果,您不应该在您的警报/预定报告中收到任何发送给您的信息
当它们仅在有数据行的情况下“存在”时,您为什么会期望看到标题行?
当您手动运行报告时,您会注意到“没有结果”,嗯……“没有结果”
没有头信息是因为没有信息
编辑以解决评论“如果报告为空白,客户要求他们至少需要列名”
您需要手动创建一个“空白”报告,然后:类似的东西应该可以工作:
index=ndx sourcetype=srctp
| fillnull value="-" fieldA, fieldB, fieldC ...
<rest of search before stats>
| stats count by *
<rest of search>
这应该意味着当你最终stats离开你的桌子时,你至少会在“每个领域”都有 一些东西——这意味着你应该总是得到至少一行(即使都是破折号)
于 2020-12-17T16:34:13.063 回答