在 Splunk 中,我需要将搜索结果客户端 IP 列表与输入查找 CSV 文件knownip.csv匹配。我想要与CSV文件不匹配的结果。
第 1 步。已验证的已知IP列表以CSV文件的形式保存在我的本地系统中
第 2 步。导航管理器>查找>添加新的查找表>
第 3 步。上传了我的文件并将其命名为KnownIP.csv.现在在"查找管理器"下>>添加新的>查找定义,我name=clientIP,lookup-file=KnownIP.csv。
第 4 步。现在我像这样定义我的搜索查询:
search NOT[|inputlookup Lookupfile | fields Name ] index=* serverName>servername113
| rex field=clientIP "(?<clientIP>d+.d+.d+)"
| stats count by clientIP
| search NOT [|inputlookup append=t KnownIP.csv|fields clientIP]
正如我所指出的,我需要帮助使此搜索与CSV文件匹配。
有几种方法可以满足您的要求
第一种方法是在初始搜索中使用查找表作为筛选器,如下所示:
index=ndx sourcetype=srctp NOT [|inputlookup mylookup | fields ip]
或者,执行lookup,并将查找的其他字段中具有空值的所有条目保留...喜欢这个:
index=ndx sourcetype=srctp
| lookup mylookup ip OUTPUT otherfield AS filterfield
| where isnull(filterfield)