gpt4 book ai didi

splunk - 为 Splunk 中的变量赋值并在搜索中使用该值

转载 作者:行者123 更新时间:2023-12-04 14:17:42 24 4
gpt4 key购买 nike

我有一个用例,我想根据条件将值设置为一个变量,并在搜索命令中使用该变量。

例子:-我要检查条件

    if account_no=818

then var1="vpc-06b"

else var1="*"

我试过了

...|eval val1=case(acc_no==818,"vpc-06b",acc_no!=818,"*")|search vpc_id=val1

但我没有收到任何事件。如果我正在尝试

...|search vpc_id=vpc-06b

然后,我得到了预期的输出。

最佳答案

您是否提取了字段 vpc_id?如果您搜索 ... |按 vpc_id 计算的统计数据,您是否得到按 vpc_id 拆分的结果?

我问这个的原因是你的第二个搜索不应该工作,...|search vpc_id=vpc-06b。如果您提取了该字段,我期望的是 ...|search vpc_id="vpc-06b"。如果第二种情况有效,那么您使用 case 语句的逻辑是正确的。

我假设该字段没有被正确提取。在这种情况下,我建议您尝试以下操作。我使用 rex 命令强制提取字段,然后在比较中使用它。

... | rex field=_raw "vpc_id=(?<vpc_id>\S+)" | eval val1=case(acc_no==818,"vpc-06b",acc_no!=818,"*") | where vpc_id=val1

关于splunk - 为 Splunk 中的变量赋值并在搜索中使用该值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58622256/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com