Мне нужен поиск с полем, которое соответствует любому из значений в таблице поиска.
На данный момент я использовал ниже, где в запросе. Но я по-прежнему хочу выполнять запрос с помощью таблицы поиска вместо того, чтобы вручную помещать все эти значения в двойные кавычки с помощью предложения in.
|where in(search,"abcd","bcda","efsg","zyca");
Во-первых, вам нужно создать поле поиска в Splunk Менеджер поиска. Здесь вы можете указать файл CSV или KMZ в качестве поиска. Здесь вы также назовете определение поиска. Обязательно поделитесь этим определением поиска с приложениями, которые будут его использовать.
Создав определение поиска, вы можете использовать его в запросе с тегом Команда поиска. Предположим, вы назвали определение поиска «my_lookup_csv», а ваш столбец поиска в вашем поиске - «event_column», а имена столбцов CSV - «column1», «column2» и т. Д. Теперь ваш поисковый запрос будет заканчиваться на:
| lookup my_lookup_csv column1 as event_column
