複数の変数を使用したSplunkフォーム検索
CentOSマシンで無料ライセンスのSplunk3.4.10を使用しています。 「TraceMail」という保存済みフォーム検索を作成しました。これを使用して、新しいキューIDを取得するときにメールサーバーを介して単一のメッセージをトレースします。現在、このフォーム検索は昨日まで機能していましたが、実行しようとすると、「変数name = "foo"の置き換え中にエラーが発生しました。引数マップに変数が見つかりませんでした」というSplunkエラーがログに記録されます。
保存した検索の現在の構文は次のとおりです。ID= ":$ first $:" OR ID = ":$ second $:"ここで、IDは抽出されたフィールドです。
ID = ":$ first $:"を使用した場合、検索は正しく完了し、期待されるすべての結果が返されます。他の誰かがこれを経験しましたか?
これについては、Splunkフォーラムで質問したほうがよいでしょう。 Splunkを使用している人はそれほど多くないので、適切なコミュニティに集中したいと考えています。
少なくとも、使用しているメールサーバーと、Splunkサーバーでの変換、小道具、完全に保存された検索を伝える必要があります。一部のログスニペットも便利です。
さらに掘り下げてテストした結果、フォーム検索では空のフィールドが適切に処理されないことがわかりました。以前は空だったフィールドに何かを入れる以外に、この問題を回避する方法を見つけることができませんでした。