如果我们想在 splunk 中添加多个过滤器,我们如何轻松做到这一点。 例如:-
index=indexer action=Null NOT IP IN (10.34.67.32 , 87.90.32.10.. 等等)
现在的问题是,如果我有 519 个 IP 想要从结果中排除,我们怎样才能轻松做到这一点..
我已经尝试过下面的代码,但编写查询需要更多时间
index = indexer action =Null IP!=10.34.67.32 IP!=87.90.32.10 依此类推..
【问题讨论】:
标签: splunk splunk-query splunk-formula
我建议您创建一个 CSV 文件,其中包含您希望从搜索中排除的 IP。
IP
10.34.67.32
87.90.32.10
...
使用此文件作为源创建查找(请参阅https://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Usefieldlookupstoaddinformationtoyourevents)。我们将查找称为excluded_ips。
现在,您可以执行以下搜索以从该文件中排除 IP
index=indexer action= Null NOT [ | inputlookup excluded_ips | fields IP | format ]
format 命令会将 IP 列表更改为 ((IP=10.34.67.32) OR (IP=87.90.32.10))。所以运行的扩展搜索是
index=indexer action= Null NOT ((IP=10.34.67.32) OR (IP=87.90.32.10))
【讨论】:
如果总 IP 地址为 600,而您希望排除 519,则可以使用
index=indexer action=Null IP IN (10.34.67.31 , 87.90.32.11 ... so on)
此外,如果您不想要特定的 IP 地址范围,您可以根据正则表达式或通配符排除或包含它们。
不过,如果您确实拥有大量 IP 地址,上述答案也很有用。
【讨论】: