Solved: Re: サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If sub...

sybb6616 · ‎05-25-2018

source="logA" [search source="logB" "valueA" | return fieldA]

上記のように検索する時、もしサブサーチ内でvalueAの検索結果が無い時、サブサーチで何も値が返されないため、メインサーチでlogAのログを全て検索されてしまいます。　これを阻止する方法を教えてください。

If subsearch is no result, Mainsearch execute Full Search...
i wanna if subsearch is no results, don't search for logA of Mainsearch.
Please teach me...

HiroshiSatoh · ‎05-27-2018

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

View solution in original post

sybb6616 · ‎05-29-2018

valueA自体に

sybb6616 · ‎05-29-2018

本当はvalueA自体のサブサーチを使っており、returnはtableで行を返してるため、うまく言った感じではなかったのですが、joinのタイプをtype=leftにしたら解決しました。

ありがとうございます。

HiroshiSatoh · ‎05-27-2018

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If subsearch is no result, Mainsearch execute Full Search

Introducing the 2024 SplunkTrust!

Introducing the 2024 Splunk MVPs!

Splunk Custom Visualizations App End of Life

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。 If subsearch is no result, Mainsearch execute Full Search

Introducing the 2024 SplunkTrust!

Introducing the 2024 Splunk MVPs!

Splunk Custom Visualizations App End of Life

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If subsearch is no result, Mainsearch execute Full Search