728x90
스플렁크는 와일드카드 사용시 많이 느리므로 다른 방법으로 속도 개선
* 오리지널
test2 에 WILDCARD(SRC),WILDCARD(DEST) 정의
| inputcsv test1.csv
| lookup test2 SRC as src DEST as dest
| table src dest use ``` use는 test2에만 존재하는 필드 ```
* 변경
| inputcsv test1.csv
| join type=left src
[| inputlookup test2
| where DEST = "*" ``` SRC만 고려 ```
| rename * as *1 ```test2에 딸린 필드 리네임 (여러번의 join시 덮어쓰기 방지)```
| eval src=SRC1 ]
| join type=left dest
[| inputlookup test2
| where SRC = "*" ``` DEST만 고려 ```
| rename * as *2
| eval dest=DEST2 ]
| join type=left src dest
[| inputlookup test2
| where SRC != "*" AND DEST != "*" ``` 와일드카드 제외```
| rename * as *3
| eval src=SRC3, dest=DEST3 ]
| eval use = mvappend(use1, use2, use3)
| table src dest use728x90
'Splunk' 카테고리의 다른 글
| 패널 표시 전환 (0) | 2025.03.29 |
|---|---|
| [splunk] 대시보드 패널 데이터 공유 (0) | 2025.02.19 |
| [splunk] 요약 인덱스 (0) | 2025.02.19 |
| 필드명에 하이픈 사용하지 않기 (0) | 2025.02.17 |
| [splunk] null 값만 있는 필드 제거하기 (0) | 2025.02.17 |