斯普伦克加入了一个内存记录

对不起，我是斯普伦克的新手。

我想做的是在搜索结果中加入一个声明的虚假记录，类似

index=... 
| joint type=outer <column> 
[ | <here declare a record to join with> 
......

这样做的目的是确保搜索结果中至少有一条记录。预计会出现以下情况：

我需要区分连接所针对的情况2和情况3。假记录将消除情况3，所以我只需要过滤结果。

有一种更好的方法来处理没有返回结果的情况。使用appendpipe命令测试该条件，并在以后的命令中添加所需的字段。

| appendpipe [ stats count | eval column="The source is empty" 
| where count=0 | fields - count ]

相关内容