Solved: 異なるsourcetypeから同じ名前のfieldをかけあわせる方法について - Splunk Community

Getting Data In

異なるソースタイプ[sourcteype=A][sourcetype=B]の中に、それぞれ[field=zzz]という同じ名前のフィールドがあります。
これをサーチで1つにかけあわせて検索する方法で[join]というものを使って下記の通りに検索したところ、"No result"となりました。もし何か、異なるソースタイプで共通するフィールドを一つにまとめて検索する方法がございましたら、ご教授下さい。

sourcetype=A host=* | table xxx yyy | join zzz [ search sourcetype=B | table zzz ] | table xxx yyy zzz

1 Solution

Solution

joinでもいいですが、statsでまとめてしまうとわかりやすいです。

例）field1がsourcetype=Aに存在するfield、field2がsourcetpe=Bに存在するfield, zzzが両方のsourcetypeに存在するfieldとすると、

sourcetype=A OR sourcetype=B | stats list(field1) as field1 list(field2) as field2 by zzz

これで、共通のzzzに対して、それぞれのsoucetypeが持っているfield(field1,field2 ...)をグルーピングすることができます。その後に、必要な集計を行うようにするという方法ではどうでしょうか。

View solution in original post

Solution

joinでもいいですが、statsでまとめてしまうとわかりやすいです。

例）field1がsourcetype=Aに存在するfield、field2がsourcetpe=Bに存在するfield, zzzが両方のsourcetypeに存在するfieldとすると、

sourcetype=A OR sourcetype=B | stats list(field1) as field1 list(field2) as field2 by zzz

これで、共通のzzzに対して、それぞれのsoucetypeが持っているfield(field1,field2 ...)をグルーピングすることができます。その後に、必要な集計を行うようにするという方法ではどうでしょうか。

Get Updates on the Splunk Community!

.conf25 Community Recap

Hello Splunkers, And just like that, .conf25 is in the books! What an incredible few days — full of learning, ...

Splunk App Developers | .conf25 Recap & What’s Next

If you stopped by the Builder Bar at .conf25 this year, thank you! The retro tech beer garden vibes were ...

Congratulations to the 2025-2026 SplunkTrust!

Hello, Splunk Community! We are beyond thrilled to announce our newest group of SplunkTrust members! The ...