Solved: サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If subsear...

sybb6616 · ‎05-25-2018

source="logA" [search source="logB" "valueA" | return fieldA]

上記のように検索する時、もしサブサーチ内でvalueAの検索結果が無い時、サブサーチで何も値が返されないため、メインサーチでlogAのログを全て検索されてしまいます。　これを阻止する方法を教えてください。

If subsearch is no result, Mainsearch execute Full Search...
i wanna if subsearch is no results, don't search for logA of Mainsearch.
Please teach me...

HiroshiSatoh · ‎05-27-2018

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

View solution in original post

sybb6616 · ‎05-29-2018

valueA自体に

sybb6616 · ‎05-29-2018

本当はvalueA自体のサブサーチを使っており、returnはtableで行を返してるため、うまく言った感じではなかったのですが、joinのタイプをtype=leftにしたら解決しました。

ありがとうございます。

HiroshiSatoh · ‎05-27-2018

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If subsearch is no result, Mainsearch execute Full Search

Can’t make it to .conf25? Join us online!

Level Up Your .conf25: Splunk Arcade Comes to Boston

Manual Instrumentation with Splunk Observability Cloud: How to Instrument Frontend ...

Take Action Automatically on Splunk Alerts with Red Hat Ansible Automation Platform

Are you a member of the Splunk Community?

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。 If subsearch is no result, Mainsearch execute Full Search

Can’t make it to .conf25? Join us online!

Level Up Your .conf25: Splunk Arcade Comes to Boston

Manual Instrumentation with Splunk Observability Cloud: How to Instrument Frontend ...

Take Action Automatically on Splunk Alerts with Red Hat Ansible Automation Platform

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。　If subsearch is no result, Mainsearch execute Full Search