Splunk subsearch для вывода регулярных выражений

Question

Мне нужен один поисковый запрос для нижеприведенного запроса.

Первый поиск даст мне динамическое поле myorderid

index = mylog "trigger.rule: Id - *: неожиданная системная ошибка"|rex field = _raw "Id -" "(? [^:] *)" |таблица myorderid

Я хочу передать указанный выше myorderid в приведенных ниже критериях поиска

index = mylog API = Порядок orderid = myorderid

Может кто-нибудь помочь мне создать один запросиспользование subsearch в splunk.

Answer 1

Вы пробовали очевидное?

index=mylog API=Order orderid=
[ search index=mylog "trigger.rule: Id - * : Unexpected System Error" 
    | rex "Id - (?<myorderid>[^:]*)" | fields myorderid ]