in splunk 如果我们想添加多个过滤器,我们怎么能轻松做到这一点. 例如:-
索引=索引器操作=空 非 IP 在 (10.34.67.32 、87.90.32.10.. 等(
现在的问题是,如果我有 519 个 IP,我想从结果中排除它,我们如何才能轻松地做到这一点。
我已经尝试了下面的代码,但编写查询需要更多时间
index = 索引器操作 =空 IP!=10.34.67.32 IP!=87.90.32.10 依此类推。
我建议你创建一个CSV文件,其中包含您希望从搜索中排除的IP。
IP
10.34.67.32
87.90.32.10
...
使用此文件作为源创建查找(请参阅 https://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Usefieldlookupstoaddinformationtoyourevents(。让我们将查找称为excluded_ips。
现在,您可以执行以下搜索以从该文件中排除IP
index=indexer action= Null NOT [ | inputlookup excluded_ips | fields IP | format ]
format命令会将 IP 列表更改为((IP=10.34.67.32) OR (IP=87.90.32.10))。因此,运行的扩展搜索是
index=indexer action= Null NOT ((IP=10.34.67.32) OR (IP=87.90.32.10))
如果总 IP 地址为 600,而您希望排除 519,则可以使用
index=indexer action=Null IP IN (10.34.67.31 , 87.90.32.11 ... so on)
此外,如果您不需要的特定 IP 地址范围,则可以根据正则表达式或通配符排除或包含它们。
虽然,如果您真的有大量的IP地址列表,上述答案也很有用。