我正在尝试将来自两个不同日志的信息合并到一个查询中,但我不确定如何或是否可以做到这一点。本质上我想这样做:
LOG 1:
<client=foo userId=1234 version=10>
<client=foo userId=5432 version=8>
<client=bar userId=4567 version=4>
LOG 2:
fooid=1234 speed=500
fooid=5432 speed=300
我想做的是收集所有版本 == 10 用户的速度统计数据。
根据我读到的内容,如果我创建 userId == fooid 的别名,可以通过这样说来实现:
fooid=* AND version=10
但是,我仍然有一个问题,即并非所有 userIds 都是 fooids。所以我希望能够在日志 1 中创建一个 fooid 字段别名,但前提是 client=foo。这可能吗?如果可以,我该怎么做?
此外,如果有其他方法可以执行此搜索,我们将不胜感激。
最佳答案
您是将这些日志放入同一个索引中还是让它们分开索引?您应该能够执行类似 index=FOO OR index=FOO2 | 的操作如果您要引入单独的索引,请搜索 fooid=* AND version=10。
我们的开发者网站 (http://dev.splunk.com) 上有一个搜索备忘单 - http://dev.splunk.com/web_assets/developers/pdf/splunk_reference.pdf
搜索语言引用指南也有帮助:http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual
关于splunk - 如何有条件地创建 splunk 字段别名?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10019793/