Splunk Search
×

Are you a member of the Splunk Community?

Sign in or Register with your Splunk account to get your questions answered, access valuable resources and connect with experts!
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Ask a Question

親IDと子が持つ親IDが一致している場合に子にデータを追加する方法

1014502
New Member
‎02-12-2020 05:58 PM

お世話になります。
以下のようなデータがあります。

Index A(工数データ)
    id,issue.id,man-hour
    a c 2

Index B(チケットデータ)
    issue.id,parent.id,type,subject
    b null 111 null
    c b null test

以下のように結果を出力したいです。
id,type,subject,man-hour
c 111 test 2
インデックスBは親チケット情報と子チケット情報があり、子チケットには親のIDを持っています。

0 Karma
Reply

to4kawa
Ultra Champion
‎02-13-2020 01:56 AM 
index=A  OR index=B
| eval parent.id = coalesce(id, 'parent.id', 'issue.id') 
| eval issue.id = nullif('issue.id','parent.id') 
| stats values(id) as id values(issue.id) as issue.id values(type) as type values(subject) as subject values(man-hour) as man-hour by parent.id 
| fields - parent.id 
| selfjoin issue.id 
| table id,type,subject,man-hour

こんにちは

動かしてないので間違いがあるかもしれませんが、こちらでどうでしょう?

| makeresults 
| eval _raw="id,issue.id,parent.id,type,subject,man-hour
a,c,,,,2
,b,,111,,
,c,b,,test," 
| multikv forceheader=1 
| rename issue_id as issue.id parent_id as parent.id, man_hour as man-hour 
| table id,issue.id,parent.id,type,subject,man-hour 
| eval parent.id = coalesce(id, 'parent.id', 'issue.id') 
| eval issue.id = nullif('issue.id','parent.id') 
| stats values(id) as id values(issue.id) as issue.id values(type) as type values(subject) as subject values(man-hour) as man-hour by parent.id 
| fields - parent.id 
| selfjoin issue.id 
| table id,type,subject,man-hour

確認しました。フィールドをシングルコーテーションで囲わないとうまくいかなかったですね。
修正しています。

0 Karma
Reply

1014502
New Member
‎02-12-2020 06:14 PM

This is my current search:
index=A
|join type=left issue.id
[search index=B
|join type=outer
[search indexB]
|where parent.id = issue.id]

0 Karma
Reply

1014502
New Member
‎02-12-2020 07:57 PM

インデックスAはインデックスBのチケットについている工数情報です。
インデックスBはチケット情報です。
さらに、インデックスBは親チケットと子チケットのがあり、子チケットには親チケットのIDを持っています。
子チケットの親IDが親チケットの親IDと一致している場合は、子チケットに親チケットの情報を追加したいです。

0 Karma
Reply

melonman
Motivator
‎02-12-2020 07:09 PM

Hi @1014502 ,
You put "japanese" tag to this question. If you want, please write your question in Japanese 🙂

0 Karma
Reply

1014502
New Member
‎02-12-2020 07:52 PM

異なるインデックスAとBのデータを紐づけ、データを抽出したいです。
Aは工数情報のデータになっています。
Bのデータはチケット情報になっています。
さらに、Bは親と子の関係になっているおり、子には親のIDを持っているため、子がもつ親IDと親チケット情報のIDが一致している場合は、子のチケット情報に親の情報を結合させたいです。

0 Karma
Reply
Get Updates on the Splunk Community!

.conf25 Community Recap

Hello Splunkers, And just like that, .conf25 is in the books! What an incredible few days — full of learning, ...

Splunk App Developers | .conf25 Recap & What’s Next

If you stopped by the Builder Bar at .conf25 this year, thank you! The retro tech beer garden vibes were ...

Congratulations to the 2025-2026 SplunkTrust!

Hello, Splunk Community! We are beyond thrilled to announce our newest group of SplunkTrust members!  The ...