Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for
Splunk Search
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for
- Splunk Answers
- :
- Using Splunk
- :
- Splunk Search
- :
- Re: 親IDと子が持つ親IDが一致している場合に子にデータを追加する方法
Options
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
親IDと子が持つ親IDが一致している場合に子にデータを追加する方法
1014502
New Member
02-12-2020
05:58 PM
お世話になります。
以下のようなデータがあります。
Index A(工数データ)
id,issue.id,man-hour
a c 2
Index B(チケットデータ)
issue.id,parent.id,type,subject
b null 111 null
c b null test
以下のように結果を出力したいです。
id,type,subject,man-hour
c 111 test 2
インデックスBは親チケット情報と子チケット情報があり、子チケットには親のIDを持っています。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
to4kawa
Ultra Champion
02-13-2020
01:56 AM
index=A OR index=B
| eval parent.id = coalesce(id, 'parent.id', 'issue.id')
| eval issue.id = nullif('issue.id','parent.id')
| stats values(id) as id values(issue.id) as issue.id values(type) as type values(subject) as subject values(man-hour) as man-hour by parent.id
| fields - parent.id
| selfjoin issue.id
| table id,type,subject,man-hour
こんにちは
動かしてないので間違いがあるかもしれませんが、こちらでどうでしょう?
| makeresults
| eval _raw="id,issue.id,parent.id,type,subject,man-hour
a,c,,,,2
,b,,111,,
,c,b,,test,"
| multikv forceheader=1
| rename issue_id as issue.id parent_id as parent.id, man_hour as man-hour
| table id,issue.id,parent.id,type,subject,man-hour
| eval parent.id = coalesce(id, 'parent.id', 'issue.id')
| eval issue.id = nullif('issue.id','parent.id')
| stats values(id) as id values(issue.id) as issue.id values(type) as type values(subject) as subject values(man-hour) as man-hour by parent.id
| fields - parent.id
| selfjoin issue.id
| table id,type,subject,man-hour
確認しました。フィールドをシングルコーテーションで囲わないとうまくいかなかったですね。
修正しています。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
1014502
New Member
02-12-2020
06:14 PM
This is my current search:
index=A
|join type=left issue.id
[search index=B
|join type=outer
[search indexB]
|where parent.id = issue.id]
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
1014502
New Member
02-12-2020
07:57 PM
インデックスAはインデックスBのチケットについている工数情報です。
インデックスBはチケット情報です。
さらに、インデックスBは親チケットと子チケットのがあり、子チケットには親チケットのIDを持っています。
子チケットの親IDが親チケットの親IDと一致している場合は、子チケットに親チケットの情報を追加したいです。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
melonman
Motivator
02-12-2020
07:09 PM
Hi @1014502 ,
You put "japanese" tag to this question. If you want, please write your question in Japanese 🙂
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
1014502
New Member
02-12-2020
07:52 PM
異なるインデックスAとBのデータを紐づけ、データを抽出したいです。
Aは工数情報のデータになっています。
Bのデータはチケット情報になっています。
さらに、Bは親と子の関係になっているおり、子には親のIDを持っているため、子がもつ親IDと親チケット情報のIDが一致している場合は、子のチケット情報に親の情報を結合させたいです。
Get Updates on the Splunk Community!
Stay Connected: Your Guide to May Tech Talks, Office Hours, and Webinars!
Take a look below to explore our upcoming Community Office Hours, Tech Talks, and Webinars this month. This ...
They're back! Join the SplunkTrust and MVP at .conf24
With our highly anticipated annual conference, .conf, comes the fez-wearers you can trust! The SplunkTrust, as ...
Enterprise Security Content Update (ESCU) | New Releases
Last month, the Splunk Threat Research Team had two releases of new security content via the Enterprise ...
