【发布时间】:2020-12-17 12:46:13
【问题描述】:
在 splunk 报告中,如果 CSV/splunk 中没有数据,我们能否在附加的 CSV 中至少获得标题(列名)。 例如。如果没有数据,那么它也应该至少显示标题名称..
【问题讨论】:
标签: splunk splunk-query splunk-formula splunk-calculation
【发布时间】:2020-12-17 12:46:13
【问题描述】:
如果没有结果,您不应该在警报/预定报告中收到任何发送给您的信息
如果标题行只有在有数据行的情况下才“存在”,为什么你会期望看到标题行?
当您手动运行报告时,您会注意到“没有结果”的时候,嗯……“没有结果”
没有头信息是因为没有信息
编辑以解决评论“如果报告为空白,客户要求他们至少需要列名”
您需要手动创建一个“空白”报告,然后:类似的东西应该可以工作:
index=ndx sourcetype=srctp
| fillnull value="-" fieldA, fieldB, fieldC ...
<rest of search before stats>
| stats count by *
<rest of search>
这应该意味着当你最终statsout 你的桌子时,你会有至少 一些东西 “在每个字段中” - 这意味着您应该始终获得至少一行(即使都是破折号)
【讨论】:
-
感谢@warren .. 但是客户有一个要求,如果报告为空白,他们需要至少列名..