我有两个宏a和b,都输出一个表。
如何创建查询以获取包含两个宏的合并结果的表?
如果没有你正在使用的宏,很难说,但我认为你可以使用append函数:
`macro1\` | append [`macro2`] | table fieldNames1 fieldNames2 ...
这将附加两个搜索中的事件并创建一个新表。
编辑(回答评论):
您可以尝试使用return函数动态创建搜索:
|inputlookup lookupname | search component_name=componentName |eval macros = "`".macro_name."`"| return 999 $macros
将返回`macro1``macro2`
希望这可以帮助!