Splunk не удалось найти

Question

Я хочу отфильтровать поиск, сопоставляя IP-адрес с масками подсети. Я извлек поле ip_address.

Я создал поисковую таблицу с именем файла AP-Subnet.csv

subnets,ap 
10.24.0.0/14,YES 
163.243.193.0/24,YES 
10.120.250.0/24,YES 
10.124.248.0/21,YES 

Затем я создал AP_subnet_lookups определение LookUp

Это мой поиск

sourcetype="logs" |transaction ip_address |lookup AP_subnet_lookups subnets |table eventcount ip_address hostname 

Поиск результат содержит другие ip-адреса, которые d не соответствует маскам.

Как изменить поиск?

Answer 1

match_type = CIDR(subnets) в transforms.conf.

Возможно, ваш transforms.conf находится в $SPLUNK_HOME/etc/apps/search/local/, если вы изменили свой поиск через графический интерфейс пользователя в рамках поискового приложения.

Если вы не можете найти его, то найдите его, используя ./splunk cmd btool transforms list --debug.