我的子搜索包含此預定義的領域,我想用它來搜索我的那得到使用雷克斯領域主要的搜索,但我沒有得到任何結果。子搜索來查找場由雷克斯在主要搜索
我已經嘗試了一些不同的東西:
host=blah... [search...| table my_field] | rex field=_raw "...<my_field>..."
host=blah... |rex field=_raw "...<my_field>..." | regex [search... | table my_field]
host=blah... | rex field=_raw "...<my_field>..." | regex my_field=[search...| table my_field]
任何人都知道我怎麼能去呢?
如果my_field是從子搜索, 嘗試必填字段,
host=blah... |join my_field [search...| table my_field] | ..
具有u試過以下?
host=blah... |rex field=_raw "...<my_field>..." | search [search... | table my_field]
另外,如果您在props.conf中定義了rex,您還可以刪除rex部分。由於splunk將在搜索時自動提取字段!
,如果你想使用subsearch擦洗結果集根的搜索,在它有一個| rex命令該場將無法正常工作。
子搜索是一個完全不同的搜索,在結果集的任何一次搜索不依賴,所以它會創建它自己的結果集。做你問在什麼樣的Splunk
的一種方法,是使props.conf領域
[mysourcetype]
EXTRACT-myfield = "my_regex_extraction"
則取決於你在做什麼,也許使用| streamstats或| eventstats命令