文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Splunk dbxquery与splunk搜索合并

Splunk dbxquery与splunk搜索合并
EN

Stack Overflow用户
提问于 2021-12-16 03:16:38
回答 1查看 501关注 0票数 0

我正在尝试将Splunk搜索查询与数据库查询结果集合并。基本上,我有一个Splunk 1,它从数据库中返回userid和email,如下所示:

代码语言:javascript
复制
| dbxquery  connection="CMDB009" query="SELECT dra.value, z.email FROM DRES_PRINTABLE z, DRES.CREDENTIAL bc, DRES.CRATTR dra WHERE z.userid = bc.drid AND z.drid = dra.dredid AND dra.value in ('xy67383') "

以上查询输出

代码语言:javascript
复制
VALUE                                 EMAIL

xv67383                              xyz@test.com

另一个查询是Splunk查询2,它提供用户ids,如下所示:

代码语言:javascript
复制
index=index1 (host=xyz OR host=ABC) earliest=-20m@m 
| rex field=_raw "samlToken\=(?>user>.+?):" 
| join type=outer usetime=true earlier=true username,host,user 
  [search index=index1 source="/logs/occurences.log" SERVER_SERVER_CONNECT NOT AMP  earliest=@w0  
  | rex field=_raw "Origusername\((?>username>.+?)\)" 
  |  rex field=username"^(?<user>,+?)\:" 
  | rename _time as epoch1] 
|  "stats count by user | sort -count | table user

上面的查询2返回一个名为user的列,但不返回电子邮件。

我想要做的是在查询1的输出中为所有匹配的行添加一个名为1的列,基本上是要为查询2中返回的每个用户添加email作为附加字段。

到目前为止,我尝试的是这一点,但它并没有给我任何结果。任何帮助都将不胜感激。

代码语言:javascript
复制
index=index1 (host=xyz OR host=ABC) earliest=-20m@m 
| rex field=_raw "samlToken\=(?>user>.+?):" 
| join type=outer usetime=true earlier=true username,host,user 
  [search index=index1 source="/logs/occurences.log" SERVER_SERVER_CONNECT NOT AMP  earliest=@w0  
  | rex field=_raw "Origusername\((?>username>.+?)\)" 
  |  rex field=username"^(?<user>,+?)\:" 
  | rename _time as epoch1] 
|  "stats count by user | sort -count 
| table user 
| map search="| | dbxquery  connection=\"CMDB009\" query=\"SELECT dra.value, z.email FROM DRES_PRINTABLE z, DRES.CREDENTIAL bc, DRES.CRATTR dra WHERE z.userid = bc.drid AND z.drid = dra.dredid AND dra.value in ('$user'):\""
sql
splunk
splunk-query
EN

回答 1

Stack Overflow用户

发布于 2021-12-17 13:39:26

$user命令中用$user$替换map。Splunk在令牌的两端都使用$

username字段在查询结束时不可用,因为stats命令去掉了它。stats之后唯一可用的字段是命令中提到的字段(在本例中为user和count )。要使username字段可用,请将其添加到stats命令中。然而,这可能会改变你的结果。

代码语言:javascript
复制
| rex field=_raw "samlToken\=(?<user>.+?):" 
| join type=outer usetime=true earlier=true username,host,user 
  [search index=index1 source="/logs/occurences.log" SERVER_SERVER_CONNECT NOT AMP  earliest=@w0  
  | rex field=_raw "Origusername\((?<username>.+?)\)" 
  |  rex field=username"^(?<user>,+?)\:" 
  | rename _time as epoch1] 
| stats count by user, username | sort -count 
| table user, username 
| map search="| dbxquery  connection=\"CMDB009\" query=\"SELECT dra.value, z.email FROM DRES_PRINTABLE z, DRES.CREDENTIAL bc, DRES.CRATTR dra WHERE z.userid = bc.drid AND z.drid = dra.dredid AND dra.value in ('$user'):\""```
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/70373438

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档