내 하위 검색에이 미리 정의 된 필드가 포함되어 있으며이를 사용하여 rex를 사용하여 필드를 가져 오는 내 기본 검색을 검색하려고하지만 결과가 없습니다.하위 검색에서 주 검색에서 rex로 구성된 필드
host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."
host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]
host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]
누구든지 내가 이것에 대해 갈 수있는 방법을 알고 :
나는 몇 가지 다른 일을 시도했습니다? my_field가 세부 검색, 시도에서 필요한 필드의 경우
는
host=blah... |join my_field [search...| table my_field] | ..
유는 아래의 시도?
host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field]
또한 props.conf에서 rex를 정의하면 rex 부분을 제거 할 수도 있습니다. splunk는 검색시 자동으로 필드를 추출합니다!
하위 검색을 사용하여 해당 필드에 | rex 명령이있는 루트 검색의 결과 세트를 제거하려는 경우 작동하지 않습니다.
하위 검색은 이전 검색의 결과 집합에 의존하지 않고 완전히 다른 검색이므로 자체 결과 집합을 만듭니다. 당신이 인 Splunk에서 요구하는지 무엇을 할
한 가지 방법은, props.conf에서 필드를 만드는 것입니다 당신은 어쩌면 | streamstats 또는 | eventstats 명령
[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"