https://community.splunk.com/t5/Splunk-Search/Multiple-uses-of-the-same-lookup-table-how-to-simplify/m-p/508958#M142198 <P>I have a stream of events that have names and each name belongs to a certain category.<BR /><BR />For this example, it will be two category: "24x7" and "custom".<BR /><BR />There are 2 lookup tables: NoEventDates (aka Holiday table) and ZeroEvents.<BR /><BR />ZeroEvents table has subset of all possible event names with additional parameters:&nbsp;<BR /><BR /></P><TABLE border="1" width="100%"><TBODY><TR><TD width="16.666666666666668%">Category</TD><TD width="16.666666666666668%">event</TD><TD width="16.666666666666668%">HourFrom</TD><TD width="16.666666666666668%">HourTo</TD><TD width="16.666666666666668%">HolidaysOff</TD><TD width="16.666666666666668%">DaysOfWeekOff</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event11</TD><TD width="16.666666666666668%">11</TD><TD width="16.666666666666668%">12</TD><TD width="16.666666666666668%">Y</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event12</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">N</TD><TD width="16.666666666666668%">0,6</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event13</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">N</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event14</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">Y</TD><TD width="16.666666666666668%">5.6</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event21</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event22</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event23</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR></TBODY></TABLE><P>&nbsp;&nbsp;</P><P>"24X7" events are expected within every 15-min all day long without holidays or weekends.<BR />Custom event can have days of year (holidays) and/or days of week (such as weekend) when no events are expected.<BR />Every day a custom event is expected it would come for sure only during the specific time range.&nbsp;</P><P>The task is to discover "missing" events situation as quickly as possible.</P><P>Custom events will be monitored every 15-min by sliding 2-hour window within their prescribed hours.<BR /><BR />For "24X7" I have the following query:<BR /><BR /></P><LI-CODE lang="markup">index=... [| inputlookup ZeroEvents.csv | where Category="24X7" | fields event | format] | stats count as eventscount by event | append [| inputlookup ZeroEvents.csv | search DeliveryMethod="24X7" | fields event | eval eventscount=0 ] | stats sum(eventscount) as total by event | where total &lt; 1 | stats count as number | eval NetcoolTitle=number + " 24X7 events with no messages" </LI-CODE><P><BR />I did not need to use Holiday table for that case.<BR /><BR />For custom events it gets more complicated&nbsp; and I'm stuck trying to find a way not to repeat all conditions twice.<BR /><BR />Here's is the structure with one part of the "append query" hard-coded:<BR /><BR /></P><LI-CODE lang="markup">index=... [| inputlookup ZeroEvents.csv | where DeliveryMethod="Batch" | fields event| format] | eval date=strftime(_time,"%Y-%m-%d") | lookup NoEventDates.csv NEDate as date OUTPUT NEDate as Holiday | eval Holiday=if(isnull(Holiday), "N", "Y") | eval DOW=strftime(_time,"%w") | eval currentHour=strftime(now(), "%H") | lookup ZeroEvents.csv event OUTPUT HolidaysOff DaysOfWeek HourFrom HourTo | where NOT match(DaysOfWeek, DOW) AND (Holiday="N" OR HolidaysOff="N") AND currentHour &gt;= HourFrom AND currentHour &lt;= HourTo | stats count as eventscount by topic | append [| inputlookup ZeroEvents.csv | eval DOW="0", Holiday="N", currentHour=1 | where DeliveryMethod="Batch" AND NOT match(DaysOfWeek, DOW) AND (Holiday="N" OR HolidaysOff="N") AND currentHour &gt;= HourFrom AND currentHour &lt;= HourTo | eval eventscount=0 | fields topic eventscount] | stats sum(eventscount) as total by events | where total &lt; 1</LI-CODE><P>&nbsp;</P><P>As I mentioned, `eval DOW="0", Holiday="N", currentHour=1` should be either recalculated using the same logic or I need somehow to use variables from the outer scope.<BR /><BR />Is there a simpler way to write such lookup-based queries?<BR /><BR />Is there a solution without a massive code duplication for "custom" events?</P> Tue, 14 Jul 2020 02:47:14 GMT pm771 2020-07-14T02:47:14Z https://community.splunk.com/t5/Splunk-Search/Multiple-uses-of-the-same-lookup-table-how-to-simplify/m-p/508958#M142198 <P>I have a stream of events that have names and each name belongs to a certain category.<BR /><BR />For this example, it will be two category: "24x7" and "custom".<BR /><BR />There are 2 lookup tables: NoEventDates (aka Holiday table) and ZeroEvents.<BR /><BR />ZeroEvents table has subset of all possible event names with additional parameters:&nbsp;<BR /><BR /></P><TABLE border="1" width="100%"><TBODY><TR><TD width="16.666666666666668%">Category</TD><TD width="16.666666666666668%">event</TD><TD width="16.666666666666668%">HourFrom</TD><TD width="16.666666666666668%">HourTo</TD><TD width="16.666666666666668%">HolidaysOff</TD><TD width="16.666666666666668%">DaysOfWeekOff</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event11</TD><TD width="16.666666666666668%">11</TD><TD width="16.666666666666668%">12</TD><TD width="16.666666666666668%">Y</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event12</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">N</TD><TD width="16.666666666666668%">0,6</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event13</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">N</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">custom</TD><TD width="16.666666666666668%">Event14</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">Y</TD><TD width="16.666666666666668%">5.6</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event21</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event22</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR><TR><TD width="16.666666666666668%">24X7</TD><TD width="16.666666666666668%">Event23</TD><TD width="16.666666666666668%">0</TD><TD width="16.666666666666668%">24</TD><TD width="16.666666666666668%">&nbsp;</TD><TD width="16.666666666666668%">&nbsp;</TD></TR></TBODY></TABLE><P>&nbsp;&nbsp;</P><P>"24X7" events are expected within every 15-min all day long without holidays or weekends.<BR />Custom event can have days of year (holidays) and/or days of week (such as weekend) when no events are expected.<BR />Every day a custom event is expected it would come for sure only during the specific time range.&nbsp;</P><P>The task is to discover "missing" events situation as quickly as possible.</P><P>Custom events will be monitored every 15-min by sliding 2-hour window within their prescribed hours.<BR /><BR />For "24X7" I have the following query:<BR /><BR /></P><LI-CODE lang="markup">index=... [| inputlookup ZeroEvents.csv | where Category="24X7" | fields event | format] | stats count as eventscount by event | append [| inputlookup ZeroEvents.csv | search DeliveryMethod="24X7" | fields event | eval eventscount=0 ] | stats sum(eventscount) as total by event | where total &lt; 1 | stats count as number | eval NetcoolTitle=number + " 24X7 events with no messages" </LI-CODE><P><BR />I did not need to use Holiday table for that case.<BR /><BR />For custom events it gets more complicated&nbsp; and I'm stuck trying to find a way not to repeat all conditions twice.<BR /><BR />Here's is the structure with one part of the "append query" hard-coded:<BR /><BR /></P><LI-CODE lang="markup">index=... [| inputlookup ZeroEvents.csv | where DeliveryMethod="Batch" | fields event| format] | eval date=strftime(_time,"%Y-%m-%d") | lookup NoEventDates.csv NEDate as date OUTPUT NEDate as Holiday | eval Holiday=if(isnull(Holiday), "N", "Y") | eval DOW=strftime(_time,"%w") | eval currentHour=strftime(now(), "%H") | lookup ZeroEvents.csv event OUTPUT HolidaysOff DaysOfWeek HourFrom HourTo | where NOT match(DaysOfWeek, DOW) AND (Holiday="N" OR HolidaysOff="N") AND currentHour &gt;= HourFrom AND currentHour &lt;= HourTo | stats count as eventscount by topic | append [| inputlookup ZeroEvents.csv | eval DOW="0", Holiday="N", currentHour=1 | where DeliveryMethod="Batch" AND NOT match(DaysOfWeek, DOW) AND (Holiday="N" OR HolidaysOff="N") AND currentHour &gt;= HourFrom AND currentHour &lt;= HourTo | eval eventscount=0 | fields topic eventscount] | stats sum(eventscount) as total by events | where total &lt; 1</LI-CODE><P>&nbsp;</P><P>As I mentioned, `eval DOW="0", Holiday="N", currentHour=1` should be either recalculated using the same logic or I need somehow to use variables from the outer scope.<BR /><BR />Is there a simpler way to write such lookup-based queries?<BR /><BR />Is there a solution without a massive code duplication for "custom" events?</P> Tue, 14 Jul 2020 02:47:14 GMT https://community.splunk.com/t5/Splunk-Search/Multiple-uses-of-the-same-lookup-table-how-to-simplify/m-p/508958#M142198 pm771 2020-07-14T02:47:14Z https://community.splunk.com/t5/Splunk-Search/Multiple-uses-of-the-same-lookup-table-how-to-simplify/m-p/509561#M142423 <P>[<EM>Answering my own question.&nbsp; Any ideas for improvement are welcome</EM>]</P><LI-CODE lang="markup"> index=... [| inputlookup ZeroEvents.csv | where Category="custom" | fields event| format] | stats count as eventscount by event | append [ | inputlookup ZeroEvents.csv | eval currentdate=strftime(now(),"%Y-%m-%d") | lookup NoEventDates.csv NEDate as date OUTPUT NEDate as Holiday | eval Holiday=if(isnull(Holiday), "N", "Y"), DOW=strftime(now(), "%w"), currentHour=strftime(now(), "%H") | where Category="custom" AND NOT match(DaysOfWeek, DOW) AND (Holiday="N" OR HolidaysOff="N") AND currentHour &gt;= HourFrom AND currentHour &lt;= HourTo | fields event | eval eventscount=0 ] | stats sum(eventscount) as total by events | where total &lt; 1</LI-CODE><P>&nbsp;</P><P>The main change is that almost all filtering is done on lookup table itself.</P><P>Advantages:</P><OL><LI>DRY principle is obeyed (almost)</LI><LI>Main lookup logic is isolated and can be debugged on its own<BR /><BR /></LI></OL><P>In order to test it's necessary to replace 4 variables with desired hard-coded values.<BR /><BR />Due to late filtering the query will perform extra work, but its performance is still acceptable.</P><P>&nbsp;</P> Thu, 16 Jul 2020 18:09:14 GMT https://community.splunk.com/t5/Splunk-Search/Multiple-uses-of-the-same-lookup-table-how-to-simplify/m-p/509561#M142423 pm771 2020-07-16T18:09:14Z