我想执行搜索,在其中我需要使用静态搜索字符串+来自具有用户名的csv文件的输入:
搜索查询-index=someindex host=host*p* "STATIC_SEARCH_STRING"
users.csv中的值,列表如下-请注意,User / UserList不是我的Splunk中的字段:**UserList**
User1
User2
User3
.
.
UserN
我曾尝试使用其中的多个-| inputlookup users.csv | join [search index=someindex host=host*p* "STATIC_SEARCH_STRING"] | lookup users.csv UserList OUTPUT UserList as User| stats count by User
以上仅输出计数为'1'的用户列表-我认为它是从表本身获取的。
[当我尝试搜索单个用户的事件时,例如-index=someindex host=host*p* "User1" "STATIC_SEARCH_STRING"。我为该用户获得了100项事件。
有人可以帮我吗?抱歉,如果这是一个菜鸟问题,我一直在尝试学习splunk,以减少工作量,并被困在这里。
谢谢!
我可能想要的是以下内容:
index=ndx sourcetype=srctp host=host*p* User=*
| search
[| inputlookup users.csv ]
| stats count by User
values作为数据的过滤器(即,仅在该列表中的
User处)如果是这种情况,上面的操作将做到这一点
如果由于查找表具有不同的名称而需要使字段名匹配,则将子搜索更改为以下内容: [| inputlookup users.csv
| rename lookup_field_name as User ]