Splunk - 处理仪表板搜索的空白令牌

问题描述 投票:0回答:1

我有以下搜索从另一个仪表板向下钻取:

MY SEARCH
|eval Status = if(isnull(REASON), "Null", REASON)
|eval Time = strftime(_time, "%Y-%m-%d %H:%M:%S")
|stats values(MEM_NBR) as MEM_NBR, latest(Status) as Status, max(Time) as TIME by C_ID
|where Status="$tok_status$"
|sort limit=0 Time desc

令牌

"$tok_status$"
将来自仪表板单击并连接到文本框。我的问题是,如果令牌为空,如何显示所有可用的“状态”?

我已经尝试过:

|where Status = if(isnull("$tok_status$"), Status, "$tok_status$")

但这没有用。

splunk splunk-query splunk-dashboard
1个回答
0
投票

我相信,当未提供令牌时,“$tok_status$”会变成“”,因此 

isnull
函数将始终返回 false。尝试一下

|where Status = if("$tok_status$"="", Status, "$tok_status$")
.
另一种选择是让 Splunk 在令牌周围添加引号(如果存在)。

|where Status = if(isnull($tok_status|s$), Status, "$tok_status$")

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.