我想进行一个splink搜索,其中我排除了所有transid与包含字符串";[error]";。
这是我当前的搜索
*base-search*
| eval rm_id=if(like(_raw, "%[error]%") , 0, transid)
我必须排除"0"中的所有值;rm_id";来自我的搜索的字段
如果您想排除包含"CCD_ 1";,只需执行以下操作-要简单得多:
index=ndx sourcetype=srctp transid=* NOT "[error]"
| <rest of spl goes here>
AIUI,如果有一个事件包含字符串"错误";那么所有具有相同transid值的事件都将被丢弃,对吗?
如果是,则可以使用transaction命令。该命令将具有公共字段值的事件分组为单个事件,然后可以对其进行筛选。transaction命令可能很慢并且占用大量内存。
*base-search*
| transaction transid
| search NOT "error"
另一种方法使用子搜索来识别具有";错误";因此主搜索可以避免这些transid。子搜索的结果限制为50000个。
*base-search* NOT [ search *base-search* "error" | fields transid | format ]