Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

検索結果の指定フィールド列で別ソースタイプを検索し結果を右列に追加する方法について

mozukun3
New Member
‎10-29-2019 09:05 AM

お世話になります。

サーチ文の書き方についてご教示ください。

まず、以下の検索結果を出しています。
・サーチ文
「soucetype="test1" | table host, user, state」
・サーチ結果
------
host, user, state
H001, U001, 000
H002, U002, 001
H003, U003, 002
H004, U004, 002
H005, U005, 002
------

この時、userフィールドのそれぞれの値で、
sourcetype "test2"のUSERフィールドが一致するログを検索し、
最も新しいログのactionフィールドを上記ログの右列に追記したいです。

例えば、sourcetype "test2"でUSERフィールドがU001のログが10件あり、
それぞれのActionが1~10のどれかが記載されていて、最も新しいログの
Actionが5だった場合、最初に記載したサーチ結果の1列目の右列に5が追記される。
という動作です。

0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

to4kawa
Ultra Champion
‎10-30-2019 04:07 AM 
sourcetype=test1 OR sourcetype=test2
|stats values(host) as host values(state) as state latest(action) as action by user
|table host, user, state, action

これでいかがですか?
最後のtableは列の順番がアルファベット順になる可能性があったため、つけました。

Splunkは一気に検索して、stats等でまとめた方がいいです。

sourcetype="test1" | table host, user, state
|join user [search sourcetype="test2"
|stats latest(action) as action by user]

のように考えたと思いますが、これはかなり遅い検索になります。

View solution in original post

0 Karma
Reply
Solved! Jump to solution
Solution

to4kawa
Ultra Champion
‎10-30-2019 04:07 AM 
sourcetype=test1 OR sourcetype=test2
|stats values(host) as host values(state) as state latest(action) as action by user
|table host, user, state, action

これでいかがですか?
最後のtableは列の順番がアルファベット順になる可能性があったため、つけました。

Splunkは一気に検索して、stats等でまとめた方がいいです。

sourcetype="test1" | table host, user, state
|join user [search sourcetype="test2"
|stats latest(action) as action by user]

のように考えたと思いますが、これはかなり遅い検索になります。

0 Karma
Reply
Solved! Jump to solution

mozukun3
New Member
‎10-30-2019 08:34 AM

回答いただきありがとうございます。
こちらはフィールド名が同一でないとだめなのでしょうか。

実際には、test1のフィールド名はuserなのですが、test2のフィールドはUserで、大文字が入るためフィールド名が同一ではなく。
この場合の手段もご教示いただけませんでしょうか。
たびたびすみませんがお願いします。

0 Karma
Reply
Solved! Jump to solution

to4kawa
Ultra Champion
‎10-31-2019 01:19 AM

こちらはフィールド名が同一でないとだめなのでしょうか。

はい、その通りです。
違う場合はrename User as user等フィールド名を変更する必要があります。

sourcetype=test1 OR sourcetype=test2
|eval user=coalesce(user,User) 
|stats values(host) as host values(state) as state latest(action) as action by user
|table host, user, state, action

でいかがですか?
coalesceはイベントによって違うフィールド名を同じものにします。

0 Karma
Reply
Solved! Jump to solution

mozukun3
New Member
‎10-31-2019 09:39 AM

できました!!
実例も書いていただいて分かりやすく大変たすかりました。
ありがとうございました。

0 Karma
Reply
Solved! Jump to solution

to4kawa
Ultra Champion
‎11-01-2019 08:52 AM

どういたしまして。またなにかありましたら。Happy Splunk.

0 Karma
Reply
Get Updates on the Splunk Community!

Continuing Innovation & New Integrations Unlock Full Stack Observability For Your ...

You’ve probably heard the latest about AppDynamics joining the Splunk Observability portfolio, deepening our ...

Monitoring Amazon Elastic Kubernetes Service (EKS)

As we’ve seen, integrating Kubernetes environments with Splunk Observability Cloud is a quick and easy way to ...

Cloud Platform & Enterprise: Classic Dashboard Export Feature Deprecation

As of Splunk Cloud Platform 9.3.2408 and Splunk Enterprise 9.4, classic dashboard export features are now ...