Поиск формы Splunk с несколькими переменными
Я использую Splunk 3.4.10 с бесплатной лицензией на машине CentOS. Я создал сохраненный поисковый запрос формы "Trace Mail", который я надеюсь использовать для отслеживания одного сообщения через мои почтовые серверы, когда оно получает новые идентификаторы очереди. Теперь этот поиск формы работал до вчерашнего дня, теперь, когда я пытаюсь запустить его, регистрируется ошибка Splunk, которая говорит: "Ошибка при замене переменной name="foo". Не удалось найти переменную в карте аргументов".
Текущий синтаксис для моего сохраненного поиска: ID = ": $first$:" OR ID = ": $second$:" где ID - извлеченное поле.
Когда я использовал ID = ": $ first $:" Поиск завершается правильно, возвращая все ожидаемые результаты. Кто-нибудь еще испытывал это?
2 ответа
Вам лучше спросить об этом на форумах Splunk. Вокруг не так много людей, использующих Splunk, поэтому вы хотите сосредоточиться на правильном сообществе.
По крайней мере, вам нужно будет сообщить им, какой почтовый сервер вы используете, и преобразования, реквизиты и полный сохраненный поиск на дополнительном сервере. Некоторые logsnippets тоже пригодятся.
После еще нескольких копаний и проверок выясняется, что поиск в форме плохо обрабатывает пустые поля. Я не мог разобраться с этой проблемой, кроме как положить что-то в ранее пустые поля.