Я хочу отфильтровать поиск, сопоставляя IP-адрес с масками подсети. Я извлек поле ip_address.Splunk не удалось найти
Я создал поисковую таблицу с именем файла AP-Subnet.csv
subnets,ap
10.24.0.0/14,YES
163.243.193.0/24,YES
10.120.250.0/24,YES
10.124.248.0/21,YES
Затем я создал AP_subnet_lookups определение LookUp
Это мой поиск
sourcetype="logs" |transaction ip_address |lookup AP_subnet_lookups subnets |table eventcount ip_address hostname
Поиск результат содержит другие ip-адреса, которые d не соответствует маскам.
Как изменить поиск?