我在Splunk中有许多单独的记录,所有记录都有一个公共字段X,我正在尝试将其组合。
E.g
User-name=JG, srcIP=10.0.0.1
User-name=JG,file=jg.docx
User-name=JG, dstIP=10.1.1.0
User-name=JG,Email=jg@jg.com
User-name=AB, srcIP=10.0.0.2
User-name=AB,file=AB.docx
User-name=AB, dstIP=10.2.2.0
User-name=AB,Email=AB@AB.com
我想进行以下搜索:将User-name字段匹配的所有记录分组,并允许我操作这些字段。
E.g
USERNAE, srcIP, file, dstIP, Email
JG, 10.0.0.1, jg.docx, 10.1.1.0, jg@jg.com
AB, 10.0.0.2, AB.docx, 10.2.2.0, AB@AB.com
谢谢!
您可以查看stats命令来执行此操作:
your search
| stats latest(srcIP) as srcIP, latest(file) as file, latest(dstIP) as dstIP, latest(email) as email by User-name
然后,您可以对这些字段执行任何需要的操作。最新函数将为您提供该用户名的srcIP/file等的最新值。