У меня есть csv с различными типами IoC, такими как адреса электронной почты, IP-адреса и т. Д. Я хочу выполнить поиск по любому из моих индексов, который будет возвращать каждую запись, которая имеет какое-либо соответствие с моим списком.
Вот чего я хочу добиться:
index=* "item1" OR "item2" OR "item3"
Поскольку в моем списке тысяча предметов, это не сработает. Итак, я загрузил свой CSV как lookuptable и попробовал следующее:
index=* [| inputlookup test.csv]
Это ничего не возвращает, но если я ищу каждый элемент "вручную", я получаю результаты.
Чего мне не хватает?