Splunk: как выбрать несовпадающие данные для двух типов источников

У меня есть следующие данные в splunk в двух разных типах источников

index = xyz sourcetype = assets

name
--------
SERVER01
SERVER02
SERVER03

index = xyz sourcetype = компьютеры

name
--------
SERVER02
SERVER03
SERVER05

Я пытаюсь получить данные, которые не совпадают в обоих типах источников

 name
 --------
 SERVER01
 SERVER05

Я попытался выполнить выбор данных с помощью внешнего соединения, как указано ниже, но, похоже, он не работает

index="xyz" sourcetype="assets"
| table name
| join type=outer name
   [| search index="xyz" sourcetype="computers"
    | table name]
| table name

Пожалуйста, предложите


splunk splunk-query splunk-formula outer-join
person Jazzzzzz    schedule 08.08.2020    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Команда stats может это сделать. Соберите серверы из каждого типа источника и подсчитайте их количество. Те, у которых счетчик 1, не совпадают.

index=xyz (sourcetype=assets OR sourcetype=computers)
| stats count by name
| where count = 1
| table name
person RichG    schedule 08.08.2020