Во-первых, вам нужно создать поле поиска в диспетчере поиска Splunk.Здесь вы можете указать CSV-файл или KMZ-файл в качестве поиска.Вы также назовете определение поиска здесь.Обязательно поделитесь этим определением поиска с приложениями, которые будут его использовать.
После создания определения поиска вы можете использовать его в запросе с помощью команды Lookup .Допустим, вы назвали свое определение подстановки «my_lookup_csv», и ваш поисковый столбец в поиске - «event_column», а имена столбцов csv - «column1», «column2» и т. Д. Ваш поисковый запрос теперь будет заканчиваться на:
| lookup my_lookup_csv column1 as event_column