程序员经验分享-hwhale

为 Splunk 中的变量分配一个值并在搜索中使用该值

2023-11-29

我有一个用例,我想根据条件将值设置为变量并在搜索命令中使用该变量。

例子:- 我想检查一下情况

    if account_no=818

    then var1="vpc-06b"

    else var1="*"

I tried 

...|eval val1=case(acc_no==818,"vpc-06b",acc_no!=818,"*")|search vpc_id=val1

但我没有收到任何事件。如果我正在尝试

...|search vpc_id=vpc-06b

然后,结果,我得到了预期的输出。


你有田地吗vpc_id提取?如果你进行搜索... | stats count by vpc_id,你得到的结果除以vpc_id?

我问这个的原因是你的第二次搜索不应该起作用,...|search vpc_id=vpc-06b。如果您提取了该字段,我期望的工作将是...|search vpc_id="vpc-06b"。如果第二种情况有效,那么你的逻辑是case陈述是正确的。

我假设该字段尚未正确提取。在这种情况下,我建议您尝试以下操作。我用rex命令强制提取字段,然后在比较中使用它。

... | rex field=_raw "vpc_id=(?<vpc_id>\S+)" | eval val1=case(acc_no==818,"vpc-06b",acc_no!=818,"*") | where vpc_id=val1
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

splunk

为 Splunk 中的变量分配一个值并在搜索中使用该值 的相关文章

随机推荐

  • Fullcalendar 为每一天添加自定义按钮

    如何在 fullCalendar 中为每一天添加自定义按钮 为此 您最好的解决方案可能是日渲染回调允许您在日历上绘制每天的单元格之前添加额外的 HTML 例如这是一个超级简单的例子 dayRender function info info

  • JSF 验证。这可以简化吗?

    我有一个带有一堆字段的简单表单 它们每个都是必需的 并且每个都有不同的名称 city state 提交表单时 我检查每个字段是否为空并添加一个独特的信息对于上下文的每次验证 例如 城市为必填项 状态为必填项 我不能简单地在 jsp 上使用

  • 我们如何在GCP Composer环境(1.10.6)中使用SFTPToGCSOperator?

    这里我想在GCP的composer环境 1 10 6 中使用SFTPToGCSOperator 我知道存在限制 因为操作符仅出现在最新版本的气流中 而不出现在 Composer 最新版本 1 10 6 中 请参阅参考资料 https air

  • Notepad++ - 正则表达式:替换每行中第一次出现的字符组

    有人会知道可以使用正则表达式 在记事本 中 来替换每行中第一次出现的字符组 eg abcdefg ijkl m qsdflkj sdqlmkf jqsmdl to abcdefg ijkl m qsdflkj sdqlmkf jqsmdl

  • 调试发送程序指令时“事务模拟失败”(Solana Solidity)

    当尝试调用编译的程序时 solana solidity 我收到以下错误 Transaction simulation failed Error processing Instruction 0 Program failed to compl

  • 无法正确更新 DirectionalLight 阴影

    我有一个DirectionalLight在我的场景中 当我第一次创建灯光时 阴影覆盖了预期的区域 当调整视口大小 画布大小 时 我更新shadowCamera参数 右 左 上 下 以及灯光的位置和目标 但阴影仅覆盖更新前的区域 我必须设置什

  • 我如何获得特定类的 td nodeValue ?

    我有以下 html 表 table tr td img src name0 gif alt Name0 td td src name1 gif alt Name1 td td src name2 gif alt Name2 td td sr

  • 以编程方式创建属性 - 核心数据

    我有一个简单的 iphone 项目 其中包含一个简单的 xcdatamodel 它有一个实体 大约有3个属性 我想知道是否有一种方法可以以编程方式向实体添加属性 即 如果用户按下某种 添加 按钮 则会将一个简单的字符串属性添加到实体并保存

  • C# 操作/函数列表

    我有一个程序必须根据枚举执行一个函数 我想知道是否还有其他方法 enum FunctionType Addition 0 Substraction 1 Mutiplication 2 Division 3 void ExecuteFunct

  • Python 3.x 在矩阵中查找鞍点

    这是我的matrix 1 1 2 5 6 1 5 6 8 5 6 7 10 12 10 12 11 11 8 10 5 6 8 9 6 5 10 12 15 19 我想找到它鞍点 坐标 of 鞍点应该 2 0 2 2 0 4 所以我的问题是

  • 如何覆盖 NSTableHeaderView 的布局?

    我正在尝试为我的 NSTableView 生成自定义标头 我想更改标题文本的字体并删除边框和垂直分隔符 我当前的顶部和底部标题如下所示 有谁知道我该怎么做 更新 应用修复后 标题现在看起来像我想要的那样 实际上 mprudhom 和 Pro

  • 如何在重命名某些表/列的同时导入 mysql 转储而不导入其他表/列?

    我正在将遗留数据库导入到我们程序的新版本中 我想知道是否有一种方法可以不从转储中导入某些列 表 并在导入时重命名其他表 列 我知道理论上我可以编辑转储文件 但这似乎是一种黑客行为 到目前为止 我的编辑器都无法打开 1 3 GB 文件 是的

  • 保持方向变化时的项目选择

    我正在尝试恢复方向改变时动作模式的状态 但它不能正常工作 按照以下步骤顺序 在 3 和 4 中 选择已损坏 长按项目 项目突出显示 上下文操作栏显示标题显示 1 selected 看起来不错 将手机转为横向 没有变化 看起来不错 将手机转回

  • 有条件地跳过验证 JSF

    要求是有条件地跳过字段验证 当用户选择添加时 应验证表单字段并将值添加到表中 如果单击编辑 则应跳过表单字段验证 但应将 bean 值复制到输入字段

  • 是否可以检查集合或子集合是否存在?

    有没有办法检查nodejs的firestore中是否存在子集合 目前我正在使用doc exists对于文档 但我需要检查文档中是否存在子集合以便写入一些数据 马特乌斯的回答对我没有帮助 也许随着时间的推移它已经改变了 collection

  • requestAnimationFrame 未按预期工作

    我正在尝试在 React 中实现去抖动resize事件 使用requestAnimationFrame并编写了以下简单的CodePen https codepen io robloche pen RmLjZV 但 Chrome v75 Fi

  • 如何在Matlab中找到二值图像中的所有连通分量?

    我一直在尝试使用二值图像中的 8 个邻居来查找所有连接的组件 而不使用函数 bwlabel 例如 我的输入矩阵是 a 1 1 0 0 0 0 0 1 1 0 0 1 1 0 1 1 0 0 0 1 0 1 1 0 0 0 0 0 0 0 0

  • 如何在android中确定设备启动事件

    我想在我的 android 应用程序中维护一个日志 日志将包含设备启动 启动 和设备停止时间 知道如何做到这一点吗 我必须在启动时启动我的应用程序 但是如何确定该应用程序在启动时启动 我已经搜索过但找不到更好的解决方案 Use BroadC

  • Google 地图 API 无效值错误

    我使用 Google Maps API 创建了以下代码 该代码应在 Google 地图上在两个给定地址之间创建一条方向线 我的代码是 function initMap var map new google maps Map document

  • 为 Splunk 中的变量分配一个值并在搜索中使用该值

    我有一个用例 我想根据条件将值设置为变量并在搜索命令中使用该变量 例子 我想检查一下情况 if account no 818 then var1 vpc 06b else var1 I tried eval val1 case acc no

热门标签