Search 如何对找到的每个orderid运行splunk搜索_Search_Foreach_Splunk_Spl

Search 如何对找到的每个orderid运行splunk搜索

Search 如何对找到的每个orderid运行splunk搜索,search,foreach,splunk,spl,Search,Foreach,Splunk,Spl,我想先选择每个ORDERID，然后对那天找到的每个ORDERID执行搜索所以我需要一个foreach ORDID。我只找到了map命令，但它不能像我那样工作因为我的搜索应该是这样的： `index=* sourcetype=dat ORDID!="" |dedup ORDID| foreach ORDID| ...search 我必须为每个人单独表演。所以我需要能够通过smth选择ORDD，比如$ORDD$ 谢谢大家。foreach命令在字段上循环，而不是在值上循环。如果您有名为“ORDI

我想先选择每个ORDERID，然后对那天找到的每个ORDERID执行搜索

所以我需要一个foreach ORDID。我只找到了map命令，但它不能像我那样工作

因为我的搜索应该是这样的：

`index=* sourcetype=dat ORDID!="" |dedup ORDID| foreach ORDID| ...search

我必须为每个人单独表演。所以我需要能够通过smth选择ORDD，比如$ORDD$

谢谢大家。

foreach命令在字段上循环，而不是在值上循环。如果您有名为“ORDID1”、“ORDID2”、“ORDID3”等的字段，那么

foreach ORDID*

将允许您处理这些字段，而无需将它们全部列出

你可能想要

地图

，但你说那没用。想详细说明一下吗

您可能还想考虑使用子搜索来获取主搜索的OrDID值。在Splunk中，子搜索在其他命令之前执行。大概是这样的：

<your current per-ORDID search> [ index=foo sourcetype=dat ORDID!="" |dedup ORDID | format ]

[index=foo sourcetype=dat ORDID！=“重复数据消除ORDID”格式]

顺便说一句，避免使用

index=*

，因为到处搜索成本很高。

谢谢你的回复，我认为即使我先选择我想要的ORDD，它也不会起作用，因为我不能对每个orderid都说：do smth。就像通过每个ORDD的循环。请详细解释如何使用每个ORDD值。有一些命令可用于操纵值。少关注如何进行循环，多关注最终目标。好吧，我现在的搜索是在仪表板中，在几个子搜索中选择每个模型类型中的材质，而不是选择从另一次搜索传递的$ORDD$的百分比此ORDD得到了多少最常见的材质。但我想搜索我得到的每一份订单，并从中发出警报。因此，我只需要得到当天的每一份材料，然后用每一份材料进行搜索。对不起，我还是不明白你想做什么。对不起。我只想选择OrderNumber进行搜索。因此，将ORDD从SOURCETYPE 1选择到数组[]中，我希望能够引用每一个ORDD-like数组[1]。。。。数组[n]执行如下操作：数组[1]+5等