Question

У меня есть несколько отдельных записей в Splunk, все с общим полем X, которые я пытаюсь объединить.

Например,

User-name=JG, srcIP=10.0.0.1
User-name=JG,file=jg.docx
User-name=JG, dstIP=10.1.1.0
User-name=JG,Email=jg@jg.com
User-name=AB, srcIP=10.0.0.2
User-name=AB,file=AB.docx
User-name=AB, dstIP=10.2.2.0
User-name=AB,Email=AB@AB.com

. Я хочу выполнить следующий поиск: сгруппировать все записи, соответствующие полям User-name, и разрешить мне манипулировать полями.

Например

USERNAE, srcIP, file, dstIP, Email
JG, 10.0.0.1, jg.docx, 10.1.1.0, jg@jg.com
AB, 10.0.0.2, AB.docx, 10.2.2.0, AB@AB.com

Спасибо!

pjnike · Answer 1 · 05 декабря 2018

Вы можете проверить команду stats , чтобы сделать это:

your search
| stats latest(srcIP) as srcIP, latest(file) as file, latest(dstIP) as dstIP, latest(email) as email by User-name

Затем вы можете выполнять любые операции с этими полями.Последняя функция выдаст вам последнее значение для srcIP / file и т. Д. Для этого имени пользователя.

Splunk: дублирующиеся поля, разные поля - объединение

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk: дублирующиеся поля, разные поля - объединение

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы