Поиск по Splunk использует точное соответствие, соответствие подстановочным знакам или соответствие CIDR, но они не могут выбрать одно из нескольких значений. Значение по умолчанию - точное, что означает, что данные должны точно соответствовать значению в указанном столбце подстановки. В вашем примере поле «ip» должно быть «ip1 | ip2 | ip3», чтобы вернуть «server1».
Подстановочные знаки относятся к наличию «» в файле поиска. Это позволит «ip» соответствовать, например, «subnet1 ».
Сопоставление CIDR позволяет использовать строки CIDR в файле поиска, что позволяет, например, «ip» соответствовать «ip1 / 24».
В определении поиска должны быть настроены как подстановочные знаки, так и сопоставление CIDR. См. Настройки-> Поиск-> Определения поиска.
Подумайте о реструктуризации файла поиска, чтобы иметь один IP-адрес на строку.
dns ip
server1 ip1
server1 ip2
server1 ip3
server2 ip4
server2 ip5
Это будет работать с вашим существующим запросом. Однако поиск в поле DNS вернет только первый IP-адрес этого сервера.