我正在使用一个始终包含特定子查询的 splunk 查询:
主机=“aaa”和主机=“bbb”和主机=“ccc”
所以例如我做了 2 种不同的搜索,例如:
host="aaa" AND host ="bbb" AND host="ccc" "MyClass" "id=3"
host="aaa" AND host ="bbb" AND host="ccc" "MyClass" "id=6"
等等。 有没有办法将查询的预定义部分保存在某个地方并重新使用它?所以我可以像这样运行我的搜索
myquery="hosts_include" "MyClass" "id=3"
myquery="hosts_include" "MyClass" "id=6"
或任何其他可以简化我的查询的语法,这样我就不必每次都复制和粘贴冗余的子查询。