Computer vision SPLUNK subsearch 2 CSV文件连接在一起_Computer Vision_Splunk_Spl

Computer vision SPLUNK subsearch 2 CSV文件连接在一起

computer-vision

Computer vision SPLUNK subsearch 2 CSV文件连接在一起,computer-vision,splunk,spl,Computer Vision,Splunk,Spl,我有两个文件，订单数据保存在splunk中的两个不同源类型中。一个文件包含orderid、plnum（praefix+orderid（一个ordernum包含3个plnum））、model（订单类型）。第二个文件包含与这些plnum相同的plnum和MaterialNumber 我想搜索用于一个或多个模型的顶级材质因此，我搜索了如何设置子搜索： sourcetype=file1 [search sourcetype=file2 MODEL="someting"| fields MODEL]

我有两个文件，订单数据保存在splunk中的两个不同源类型中。一个文件包含orderid、plnum（praefix+orderid（一个ordernum包含3个plnum））、model（订单类型）。第二个文件包含与这些plnum相同的plnum和MaterialNumber

我想搜索用于一个或多个模型的顶级材质

因此，我搜索了如何设置子搜索：

sourcetype=file1 [search sourcetype=file2 MODEL="someting"| fields MODEL] |stats values(MATNR) by MODEL

我不知道为什么子搜索不起作用。

自行运行子搜索以验证它是否起作用并产生预期结果。我怀疑它正在工作，并以

foobarbaz…

的形式返回PLNUM列表。Splunk在搜索词之间放置一个隐式的

和

，因此您的主要搜索是查找包含所有PLNUM的事件，这是不可能的

尝试在子搜索中使用

格式

。它以

foo或bar或baz…

格式返回结果，这在主搜索中应该更有效

sourcetype=file1[search sourcetype=file2 MODEL=“someting”| fields PLNUM | format]| stats values（MATNR）by PLNUM

对不起，我想用PLNUMthanks写[…]fields PLNUM]stats values（MATNR）我想这是行得通的，我不会因为可能是因为|格式。