Я пытаюсь достичь приведенной ниже логики, пытаясь установить флаг с именем <<strong> adminuser >, текущий идентификатор пользователя присутствует в поиске (в поиске 4 ID присутствует AAP1 APP2 AAP3), если adminuser имеет значение False , затем отфильтруйте, где в событии находится инициатор запроса, иначе не фильтруйте сведения о пользователе только 4 идентификатора. а остальные могут видеть только этот запрос.
Мой XMl код:
index = * sourcetype = "testapp" | eval split = split (Requestor, "@"), Requestor = mvindex (сплит, 0) | eval "Запрошенная дата" = strftime (_time, "% Y-% m-% d% H:% M:% S") | Получить текущий идентификатор пользователя = (| rest / services / authentication / current-context splunk_server = local | переименовать имя пользователя в Requestor | eval split = split (Requestor, "@"), Requestor = mvindex (split, 0)) | хотите использовать флаг, если текущий идентификатор пользователя присутствует в поиске | если adminuser - False, тогда фильтруйте, где Requestor in event is else do not filter | table "Requested Date" "ID" "Requestor" "MD" "SM" "SL" Статус