Можно ли условно применить фильтр, например dedup на основе оператора if или where
dedup
if
where
Например:
(initial search) | dedup field(s) | where var1=true | table field(s)
Или:
(initial search) | if(var1=true, dedup field(s)) | table field(s)```
Команда dedup не имеет условной опции, и команда Splunk не может быть выполнена условно.
Когда флажок установлен, задайте токен «dedup field (s)»;в противном случае установите значение «noop».Ссылка на токен в вашем поиске.(начальный поиск) |$ токен $ |поля таблицы