2016-09-30 9 views
0

私のサブ検索にはこの定義済みのフィールドが含まれており、rexを使用してフィールドを取得するメイン検索を検索するために使用しようとしています。メイン検索でrexで構成されるフィールドを検索するためのサブ検索

私はいくつかの異なるものを試してみた:

host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..." 

host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field] 

host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field] 

誰もが、私はこれについて行くことができる方法を知っていますか?

答えて

0

my_fieldは、サブ検索から 試し必須フィールドであれば、

host=blah... |join my_field [search...| table my_field] | .. 
0

は、uは以下を試してみましたか?

host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field] 

さらに、props.confでrexを定義すると、rex部分も削除できます。 splunkは検索時に自動的にフィールドを抽出します。

0

サブサーチを使用して、そのフィールドに対して| rexコマンドを持つルート検索の結果セットをスクラブしようとすると、それは機能しません。

サブ検索は、以前の検索の結果セットに依存しない完全に異なる検索であるため、独自の結果セットを作成します。あなたはSplunkの中で求めている何をすべきか

一つの方法は、props.confにフィールドを作ることです、あなたは多分| streamstatsまたは| eventstatsコマンド

を使用して、やっていることに応じて、

[mysourcetype] 
EXTRACT-myfield = "my_regex_extraction" 

関連する問題