我是 splunk 新手,在比较两个不同查询的两列中的值时遇到问题。
查询 1
index="abc_ndx" source="*/jkdhgsdjk.log" call_id="**" A_to="**" A_from="**" | transaction call_id keepevicted=true | search "xyz event:" | table _time, call_id, A_from, A_to | rename call_id as Call_id, A_from as From, A_to as To
查询 2
index="abc_ndx" source="*/ jkdhgsdjk.log" call_id="**" B_to="**" B_from="**" | transaction call_id keepevicted=true | search " xyz event:"| table _time, call_id, B_from, B_to | rename call_id as Call_id, B_from as From, B_to as To
这是我的两个不同的查询。我想将 A_from 列中的每个值与 B_from 列中的每个值进行比较,如果值匹配,则显示 A_from 的这些值。
可能吗?
我分别运行了两个查询,并将每个查询的结果导出到 csv 中,并使用了 vlookup 函数。但问题是可以导出的数据有最大 10000 行的限制,因此我错过了很多数据,因为我的数据搜索有超过 10000 条记录。
有什么帮助吗?
最佳答案
目前还没有任何数据可以对此进行测试,但是,以下内容应该为您指明正确的方向。
当您整理好第一个查询的表后,您应该将搜索字符串与第二个搜索字符串一起“管道”到 appendcols 命令。此命令将允许您运行子搜索并将列“导入”到您的基本搜索中。
一旦您在同一个表中拥有两列。您可以使用 eval 命令创建一个新字段,用于比较两个值并根据需要分配一个值。
希望这有帮助。
http://docs.splunk.com/Documentation/Splunk/5.0.2/SearchReference/Appendcols http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Eval
关于comparison - 比较两个不同 Splunk 搜索的两列中的值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15936027/