Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

サブサーチで何もヒットしない時、メインサーチのソースで全検索されてしまいます。 If subsearch is no result, Mainsearch execute Full Search

sybb6616
New Member
‎05-25-2018 10:24 PM

source="logA" [search source="logB" "valueA" | return fieldA]

上記のように検索する時、もしサブサーチ内でvalueAの検索結果が無い時、サブサーチで何も値が返されないため、メインサーチでlogAのログを全て検索されてしまいます。 これを阻止する方法を教えてください。

If subsearch is no result, Mainsearch execute Full Search...
i wanna if subsearch is no results, don't search for logA of Mainsearch.
Please teach me...

0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎05-27-2018 06:57 AM

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

View solution in original post

0 Karma
Reply
Solved! Jump to solution

sybb6616
New Member
‎05-29-2018 06:28 AM

valueA自体に

0 Karma
Reply
Solved! Jump to solution

sybb6616
New Member
‎05-29-2018 06:28 AM

本当はvalueA自体のサブサーチを使っており、returnはtableで行を返してるため、うまく言った感じではなかったのですが、joinのタイプをtype=leftにしたら解決しました。

ありがとうございます。

0 Karma
Reply
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎05-27-2018 06:57 AM

本当はfillnullで値の編集が必要かと思いましたが以下でいきそうです。

source="logA" [search source="logB" "valueA" | return fieldA]

↓マニュアルではいっしょの結果になりそうですが、下は結果が返りません。

source="logA" [search source="logB" "valueA" | head 1| fields fieldA]

0 Karma
Reply
Get Updates on the Splunk Community!

Extending Observability Content to Splunk Cloud

Watch Now!   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to leverage ...

More Control Over Your Monitoring Costs with Archived Metrics!

What if there was a way you could keep all the metrics data you need while saving on storage costs?This is now ...

New in Observability Cloud - Explicit Bucket Histograms

Splunk introduces native support for histograms as a metric data type within Observability Cloud with Explicit ...