в поисках Splunk Как получить все экземпляры, которые имеют поле без какого-либо значения

Question

Это линия в моем журнале file.i хочет, чтобы получить все searchTerms, которые не имеют значения для PAMapped

2012-10 -29 11: 20: 21711 - SEARCHTERM = ускорение & местоположение = Soperton% 2C + GA & PAMapped =

Это поиск я дал.

индекс = SAVVIS лакокрасочной хост = "dell1000a-12" источник = "/ flocal/журналы/lawyers.findlaw.com/поиск-mapping.log" НЕ PAMapped = * ранний = -1mon @ пн

Но он не возвращает все экземпляры. Он возвращает только один.

Answer 1

Я предполагаю, что PAMapped поле уже было извлечено ...

Я хотел бы использовать fillnull команды (docs), чтобы добавить общее значение для всех пустых значений в этом поле. Это позволило бы значительно упростить фильтрацию полей, имеющих значение NULL, например, в вашем случае использования.

Например, вы могли бы, вероятно, сделать что-то вроде:

index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" earliest=-1mon@mon | fillnull value=NULL PAMapped | search PAMapped=NULL

Это не может быть наиболее эффективна и поиск, но он может дать лучший потенциал для расширения.

Вы также можете попробовать использовать where команды для фильтрации результатов (docs1 & docs2), что-то вроде следующего может работать:

index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" earliest=-1mon@mon | where isnull(PAMapped)

Надеется, что это помогает.

P.S. Вы можете найти более полезные и быстрые ответы на SplunkBase на официальном форуме Splunk.

Answer 2

Попробуйте этот запрос:

index=savvis-varnish host="dell1000a-12" source="/flocal/logs/lawyers.findlaw.com/search-mapping.log" earliest=-1mon@mon | where isnull(PAMapped)