如果我有一个搜索结果,其中有一个名为"Field1"的字段,并且它的值如下:
这是现在的 Word1。
这是现在的 Word2。
这是现在的WordX。
这是现在的WordZ。
下面是单词的查找表。
字段1
字1
字2
字3
字4
字5
字6
如何搜索,以便仅在输出中得到以下结果,因为它们包含查找表中的"Word1"和"Word2"?
这是现在的 Word1。
这是现在的 Word2。
一种方法是在子搜索中读取查找文件。
index=foo [ | inputlookup words.csv | format ]
format命令将查找文件的内容放入 field=value 格式,以便最终查询变为index=foo ((field1=Word1) OR (field1=Word2))。