Splunk地图不会丢失字段

我有2个日志需要连接在一起才能获得我需要的所有信息。 summary.log包含我需要的大部分字段（其中有很多字段）以及此事件是否适用于我的指示。 location.log只需要一个我需要的字段以及一个唯一的标识符，以便将日志绑定在一起。

起初我想使用连接命令，顾名思义，但第一次搜索的结果字段不能在子搜索中使用（连接使用）。然后我发现了map命令，它允许这一点，但是地图有一个副作用，就是删除刚才没有来自地图的所有字段。后来我想也许我可以使用collect或outputlookup临时存储字段。但我需要多个人才能在没有竞争条件的情况下运行此查询，因此查找是不可能的。 collect testmode = true可能有效（或者可能没有），但只能使用现有的索引，我不打算创建一个空索引，并确保它保持为空。经过一些在线搜索后，我找不到任何其他没有使用子搜索的命令（因此set与join有相同的问题）。所以我只想出3个选项：

选项1：

source=summary.log | xmlkv | search transactionFailed=true
| join transactionId max=0 [search
source=summary.log | xmlkv | search transactionFailed=true
| map search="search source=location.log \"[$transactionId$]\" | eval transactionId=\"$transactionId$\""
| rex "(?<locationId>\w+)$" | fields transactionId locationId]
| table *

选项2：

source=summary.log | xmlkv | search transactionFailed=true
| map search="search source=location.log \"[$transactionId$]\" | eval transactionId=\"$transactionId$\"
| eval every=\"$every$\" | eval single=\"$single$\" | eval field=\"$field$\" | eval I=\"$I$\" | eval need=\"$need$\""
| rex "(?<locationId>\w+)$" | table *

选项3：

source=location.log | rex "\[(?<transactionId>.+?)\]" | rex "(?<locationId>\w+)$"
| map search="source=summary.log \"$transactionId$\" | eval locationId=\"$locationId$\""
maxsearches=2147483647
| xmlkv | search transactionFailed=true | table *

选项1完全相同的搜索两次（这就是我考虑使用collect或outputlookup存储其结果的原因），但问题是这只是一个简化的模拟查询，实际查询很复杂并且重复大事是非干，可能不利于表现。

选项2需要一个有效的每个字段的列表，但是很混乱（我认为这是大约10个字段）。它也不灵活，但这并不是一项要求，因为这些字段不会很快改变。

选项3永远不会像以往那样完成。绝大多数事务都不是失败，map命令非常慢。不，我不需要超过几千，上面的最大搜索只是为了突出语法上最干净的方法的问题。

他们都很糟糕。选项3不是一种选择。选项1缓慢而混乱。选项2很杂乱，但在其他方面很好，使其成为最佳选择。我花时间搜索splunk文档，但可能有一个我错过的相关命令。我没有发现任何其他人的问题与我的问题相同。

令我惊讶的是，这似乎是map命令的一个相当正常的用例，但是有no option来保存所有非内部字段。

底线：有没有办法以干净合理的方式进行搜索？

我现在不上班，但我认为Splunk的版本是6.1.8（它不是Splunk Mint）。