lookup配置⽅法介绍
1.本地新建⼀张CSV格式的lookup表,假设⽂件名为country_lookup.csv,样例参考如下,第⼀列表⽰合并前的字段,第⼆列表⽰合并后的字段wechart_country,country中国,中国China,中国中国⾹港,中国⾹港,中国⾹港
2.登录splunk,点击右上⾓“设置”,进⼊“查找”页⾯3.点击“查找表⽂件”后⾯的“新增”操作
4.选择“⽬标应⽤”,点击“选择⽂件”上传之前新建的CSV⽂件,填写“⽬标⽂件名”,建议填写和上传的⽂件⼀样的名称,点击“保存”
5.回到“查找”页⾯,点击“查找定义”后⾯的“新增”操作
6.选择“⽬标应⽤”,填写“名称”(这个名称⽤于搜索时调⽤),选择“查找⽂件”(这⾥选择上⼀步⾥的填写的⽬标⽂件名),点击保存
7.回到搜索页⾯,输⼊以下搜索语句:
source=\"/td_data/dx/*\" index=\"dx\" wechat_country != null wechat_country != \"\" | lookup country_lookup wechart_country aswechart_country OUTPUT country as country | stats count by country
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- sarr.cn 版权所有 赣ICP备2024042794号-1
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务