Splunk - Multi-select - 显示唯一主机
Splunk - Multi-select - Show unique hosts
我想在 Splunk 的多选输入选项中填充主机列表。
index=someIndexName * host!="notThis*" | stats values(host) as host
我可以看到在 Splunk 中填充的主机列表。但是,它们不会填充到多选列表中。它说 "populating" 但什么也没有显示。
尝试使用它作为填充搜索
index=someIndexName * host!="notThis*" | stats count by host
然后使用 host 作为 Field for Label 和 Field for Value
<input type="multiselect" token="field1">
<label>Hosts</label>
<fieldForLabel>host</fieldForLabel>
<fieldForValue>host</fieldForValue>
<search>
<query>index= someIndexName host!="notThis*"| stats count by host</query>
</search>
<choice value="*">All</choice>
<default>*</default>
<initialValue>*</initialValue>
<delimiter> </delimiter>
</input>
正如 Simon Duff 所建议的那样,这行得通!
我想在 Splunk 的多选输入选项中填充主机列表。
index=someIndexName * host!="notThis*" | stats values(host) as host
我可以看到在 Splunk 中填充的主机列表。但是,它们不会填充到多选列表中。它说 "populating" 但什么也没有显示。
尝试使用它作为填充搜索
index=someIndexName * host!="notThis*" | stats count by host
然后使用 host 作为 Field for Label 和 Field for Value
<input type="multiselect" token="field1">
<label>Hosts</label>
<fieldForLabel>host</fieldForLabel>
<fieldForValue>host</fieldForValue>
<search>
<query>index= someIndexName host!="notThis*"| stats count by host</query>
</search>
<choice value="*">All</choice>
<default>*</default>
<initialValue>*</initialValue>
<delimiter> </delimiter>
</input>
正如 Simon Duff 所建议的那样,这行得通!