我在 csv(deattackerv1.csv) 中有 221180 个 ips,只有一个字段“ip”.. 我想检查在给定的一个索引中我们是否在 splunk 中对该 ip 有任何命中.. 我们如何实现这一点..
下面是查询..但我收到错误,因为“子搜索产生了 221180 个结果,截断到 maxout 10000。”
索引=*_abc | 搜索 [| inputlookup deattackerv1.csv | 表ip | 将 ip 重命名为 src_ip] | 按 src_ip,index 统计的统计信息
注意:- src_ip 是 index=*_abc 中的一列。
我也在下面尝试过..
索引=*_abc | 统计数据按 src_ip,index | 计为事件计数 附加 [| inputlookup deattackerv1.csv | 表ip | 将 ip 重命名为 src_ip] | eventstats 值(索引)作为索引 | 评估索引=如果(isnull(索引),索引,索引)| 表事件计数 src_ip 索引 | mvexpand 索引 | 统计数据作为源计数值(事件计数)作为 src_ip 索引的事件计数 | 其中 sourcecount > 1 | 表 src_ip 事件计数索引
但收到错误信息消息:[子搜索]:子搜索产生 221180 个结果,截断为 maxout 50000。