Splunk Version 9.2.1
初心者の自分が理解しにくかったので纏めてみます。
Lookupファイル:Lookupで情報を検索する際の実体ファイル
Lookup定義 :どのようなマッチをさせるか指定する
上記どちらでも | inputlookup, | lookup コマンドの際に使用できる。
但し、Lookup定義のほうが、合致条件を細かく指定できる。
図解
SPL例
Lookup定義をコマンドで指定する。
qiita.rb
| inputlookup routing [lookup_field] AS [search_field] OUTPUT [lookup_field]
尚、WILDCARD, CIDR を知っていると、とても便利です。