0

我正在 Splunk 中创建仪表板。它有一个下拉菜单用于选择 App-name(App1 或 App2),另一个下拉菜单用于选择 log_type(详细信息和 App_specific),以及一个用于显示搜索查询输出的搜索面板。

例如,

  1. 如果用户选择 App1 和 log_type 作为 app_specific,那么 Panel 应该得到查询结果:

index=App1 "taskExecutor-1" | sort -_time | table msg

对于 App1,选择 app_specific 应将“taskExecutor-1”添加到查询中。

  1. 如果用户选择 App2 和 log_type 作为 app_specific,那么 Panel 应该得到查询结果:

index=App2 "ool-44-thread-1" | sort -_time | table msg

对于 App2,选择 app_specific 应将“ool-44-thread-1”添加到查询中。

    1. 如果用户选择 App1 和 log_type 作为详细信息,那么面板应该会产生查询结果:

index=App1 | sort -_time | table msg

选择详细信息不应该对查询产生任何影响。或者我们可以说,一个空值。

如何自定义查询以适应 Splunk 中的此类行为?Splunk 中是否有任何 if/else 或 case 功能可以帮助实现此行为?

4

1 回答 1

0

调查仪表板令牌

在仪表板上的输入字段(收音机、下拉菜单等)中,将令牌设置为具有多个可能的选项(静态或动态 - 您的选择)

然后在您的 SPL 中,执行以下操作:

index=ndx "$mytoken$" msg=*
| sort 0 - _time
| table msg
于 2021-11-16T15:04:53.520 回答