【发布时间】:2017-09-23 19:34:40
【问题描述】:
-
以下搜索会返回相同的结果吗?
搜索 1:
ssh error
搜索 2:ssh AND error -
以下搜索会不会返回相同的结果?
搜索 1:
purchase
搜索 2:action=purchase
【问题讨论】:
标签: splunk splunk-query splunk-calculation splunk-formula
【发布时间】:2017-09-23 19:34:40
【问题描述】:
在 SPL 中,初始搜索的每个术语都被视为对搜索的限制(即 AND)。
因此,这两个搜索是相同的...
"foo" "bar"
"foo" AND "bar"
在 SPL 中,逻辑运算符必须为大写。因此,这两个搜索并不相同...
"foo" AND "bar"
"foo" and "bar"
...但是这两个是相同的...
"foo" AND and AND "bar"
"foo" and "bar"
在 SPL 中,搜索词本身将返回在任何字段中包含该词的每个事件,而键值对将仅返回在该字段中包含该词的事件。
因此,这两个搜索并不相同,但如果“foo” (A) 从未出现在任何字段中,或者 (B) 仅作为值出现在字段栏中,则可能返回相同的结果。
"foo"
bar="foo"
【讨论】:
是的,暗含 AND ..
它们不会返回相同的搜索。一个示例包括具有“用户没有购买此商品”与 action=purchase 的事件,这意味着用户购买了该商品
【讨论】: