Я хочу использовать запрос в splunk, извлекать список полей и затем использовать эти поля результатов для дальнейшего фильтрации моего последующего запроса на splunk. Как мне это сделать?Фильтрация результатов всплесков с использованием результатов другого запроса на splunk
Один из вариантов - передать данные из первого поиска в следующий, а затем вы можете дополнительно фильтровать результаты. Будем надеяться, что следующая упрощенная строка поиска даст вам идеи о том, как это сделать ...
index=_internal | head 100 | fields host, sourcetype, source | search sourcetype="splunkd_access"
Для получения дополнительной информации, я рекомендую прочитать с помощью команды Splunk Search Reference
Формат может быть особенно полезно для этого. Это слишком упрощенный пример, но должен дать вам представление о том, как он используется:
Сначала создайте свой подзапрос, который даст вам нужные вам поля. Вот пример функционирования:
|metadata type=hosts index=_internal | table host | format
Попробуйте запустить этот поиск самостоятельно, чтобы посмотреть, как выглядит результат.
Тогда мы просто добавить его в качестве subsearch вашего реального поиска:
index=foo sourcetype=bar [|metadata type=hosts index=_internal | table host | format]
, который даст вам событие из индекса обув, SourceType бара, и каждый хост из subsearch.
Это действительно чрезвычайно мощная команда, так как вы можете использовать ее для динамического набора таймеров, а также сложных булевых фильтров.