Question

Я запускаю запрос и получаю список custId в виде таблицы. Как передать этот результат в другой поисковый запрос внутри предложения IN.

например:

поиск 1: индекс = * "успешный вход в систему" | таблица custID это дает мне таблицу со столбцом custID.

Тогда я должен бежать

index = * "почта отправлена" | где custID IN (поиск 1) | таблица CustID, _time

RichG · Answer 1 · 16 мая 2018

Используйте подпоиск. Вам нужно будет поэкспериментировать с format параметрами, чтобы совместить вывод с IN.

index=* "mail sent by"|where custID IN ([search index=* "successful login for"|fields custID | format]) |table CustID,_time

Если вы не можете получить правильный вывод format, возможно, вам придется использовать старый метод без IN.

index=* "mail sent by"|where [search index=* "successful login for"|fields custID | format] |table CustID,_time

Кстати, index=* не очень хорошая практика для производства. Используйте реальное имя индекса для лучшей производительности.

Как передать результат одного поиска в предложение IN другого поиска в Splunk?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.