我一直在谷歌上搜索如何在Splunk中搜索两个字段不相等的情况。
共识是这样做:
index="*" source="*.csv" | where Requester!="Requested For"
然而,这不起作用!
这返回Requester和Requested For都等于"0"的结果;鲍勃·史密斯">
为什么不这样做:
index=* source=*.csv Requester=* NOT Requester="Requested For"
这确保了存在Requester字段,并且它不等于"0";CCD_ 2";
如果字段名包含空格,请将其用单引号括起来,而不是用双引号括起来
index="*" source="*.csv" | where Requester!='Requested For'
字段名称
包含除a-z、a-z、0-9或下划线(_(字符以外的任何字符的字段名称必须用单引号('(括起来。