Splunk - 根据输入选择为 Splunk 仪表板创建自定义查询答案

【问题标题】：Splunk - Create customized query for Splunk dashboard based on Input selectionSplunk - 根据输入选择为 Splunk 仪表板创建自定义查询
【发布时间】：2021-11-15 21:55:28
【问题描述】：

我正在 Splunk 中创建仪表板。它有一个下拉菜单用于选择 App-name（App1 或 App2），另一个下拉菜单用于选择 log_type（详细和 App_specific），以及一个用于显示搜索查询输出的搜索面板。

例如，

如果用户选择 App1 和 log_type 作为 app_specific，那么 Panel 应该得到查询结果：

index=App1 "taskExecutor-1" | sort -_time | table msg

对于 App1，选择 app_specific 应将“taskExecutor-1”添加到查询中。

如果用户选择 App2 和 log_type 作为 app_specific，那么 Panel 应该得到查询结果：

index=App2 "ool-44-thread-1" | sort -_time | table msg

对于 App2，选择 app_specific 应将“ool-44-thread-1”添加到查询中。

1. 如果用户选择 App1 和 log_type 作为详细信息，则 Panel 应为查询结果：

index=App1 | sort -_time | table msg

选择详细信息不应该对查询产生任何影响。或者我们可以说，一个空值。

如何自定义查询以适应 Splunk 中的此类行为？ Splunk 中是否有任何 if/else 或 case 功能可以帮助实现此行为？

【问题讨论】：

标签： splunk splunk-query splunk-dashboard

【解决方案1】：

调查dashboard tokens

在仪表板上的输入字段（收音机、下拉菜单等）中，将令牌设置为具有多个可能的选项（静态或动态 - 您的选择）

然后在您的 SPL 中执行以下操作：

index=ndx "$mytoken$" msg=*
| sort 0 - _time
| table msg

【讨论】：

我了解使用 Splunk 令牌的那一部分。但我想要 SPL 中的 if-else 条件，因此我不必创建多个标记。
@user2769790 - 我的示例只使用一个标记 - 它只是根据所做的选择获得不同的值:)
是的。但是，我将不得不为“ool-44-thread-1”和“taskExecutor-1”创建一个单独的令牌。我已经为 App2 和 App1 和 log_type 创建了令牌。如果有人选择 App1 和 log_type 作为 app_specific，那么查询应该能够在查询中自动使用“taskExecutor-1”。如果有人选择 App1 和 log_type 作为详细，那么查询应该能够自动使用“”/empty .对于 App2 和 app_specific，查询应该能够自动使用“ool-44-thread-1”。希望这有助于理解我的目标。
@user2769790 - 然后使用动态填充的令牌：您不必枚举选项...如果您想要选项 enumerated