Splunk subsearches

Question

мне нужна помощь - передавая данные, возвращаемые ниже запроса в другой запрос на наружные видные запрос таким образом, чтобы данные могли быть соединены по полям ThreadId, setime, хозяин

индекс = XXX * SourceType = YY "DATE_FROM_IN =" "DATE_TO_IN =" | рекс поле = "DATE_FROM_IN (?.)" | поле рекс = "DATE_TO_IN (?.)" | таблица DATE_TO_IN DATE_FROM_IN ThreadId setime хозяина

Answer 1

Вы можете использовать команду join объединить результаты двух различных запросов по списку полей. При необходимости вы можете запускать несколько соединений один за другим.

Синтаксис: Первый поиск | соединение [secone поиск]