LoginSignup
0
0
@splunknoob(Splunk Noob)

Lookup と Lookup定義の違い

Last updated at Posted at 2024-05-13

Splunk Version 9.2.1

初心者の自分が理解しにくかったので纏めてみます。

Lookupファイル:Lookupで情報を検索する際の実体ファイル
Lookup定義  :どのようなマッチをさせるか指定する

上記どちらでも | inputlookup, | lookup コマンドの際に使用できる。
但し、Lookup定義のほうが、合致条件を細かく指定できる。

図解

image.png

SPL例

Lookup定義をコマンドで指定する。

qiita.rb
| inputlookup routing [lookup_field] AS [search_field] OUTPUT [lookup_field]

尚、WILDCARD, CIDR を知っていると、とても便利です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0