Splunk: CSVファイルをルックアップとして登録し検索条件として使用する
たびたび必要となるのでメモ。
実施環境: Splunk Free 8.2.2
ルックアップは一般的には既存のデータに情報を追加するために使用しますが、本体がリストデータであることから、検索条件としても使用できます。
例えば、以下のような2つの条件を OR でつないで検索を行いたいとします。
- STR が AAA かつ NUM が 1 であるもの
- STR が BBB かつ NUM が 2 であるもの
まずは、以下のような CSV ファイルを準備します。
| STR | NUM |
|---|---|
| AAA | 1 |
| BBB | 2 |
用意した CSV ファイルをルックアップテーブルファイルとして登録します。
登録したルックアップテーブルファイルは、以下のように inputlookup コマンドと format コマンドを組み合わせて使用します。
条件によっては、 format コマンドの代わりに return コマンドを使用することも可能です。
| makeresults count=10
| streamstats count AS CNT
| eval NUM = CNT % 3
| eval STR = if(CNT % 2 = 1, "AAA", "BBB")
| where
[
| inputlookup "testsearch.csv"
| format
]
ここでは where コマンドの引数として指定しましたが、先頭の search コマンドの引数として利用することも可能ですし、サブサーチ内で加工すれば複雑な条件を処理することもできます。
また、 Splunk のアドオンである Lookup Editor と合わせると、検索条件を簡単に変更できるようになるため便利です。
Author And Source
この問題について(Splunk: CSVファイルをルックアップとして登録し検索条件として使用する), 我々は、より多くの情報をここで見つけました https://qiita.com/frozencatpisces/items/da995849bfcb095b1212著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .