Splunk Search

About Lookup Table (outputlookup)

pisc
Explorer

ルックアップテーブルについて質問です。

outputlookup関数の引数において<tablename>がありますが、この場合「テーブルに書き込む」とのことですが、どこに持ちますでしょうか。
<filename>の場合は.csvファイルに書き込みますが、<tablename>でテーブルに書き込んだ場合はメモリ上に持つイメージになるのでしょうか?

人事データをログとして取り込み、outputlookupでルックアップテーブルに出力し、その結果を元にinputlookupを用いて特定のログと紐づけることを実現したいと考えています。

常に最新の人事データを取得していた場合、昔のログと紐づけると最新の人事データでは異動が発生していることが考えられ、ログの整合性が合わないことが考えられるためです。

また、この方法に関してベストな方法があれば教えてください。

※追記※

outputlookup関数で月の初めに人事データをcsvファイルで出力したとしても、その月に対応するlookupを手動で作成する必要があると考えています。
この部分(ルックアップテーブルファイル - ルックアップ定義 - 自動ルックアップ)を自動化する方法はありますでしょうか?
検索をしていても、「自動ルックアップ」に関する部分しか出てこず。。


I have a question about the look-up table.

<tablename> in argument of outputlookup function there are, but is that it is with this case, "write to the table", where you would either have.
<filename> writes to a .csv file, <tablename> If you have written to the table in either will become the image you have on memory?

Captures the personnel data as a log, output to the look-up table in outputlookup, we would like to realize that to characterize string and specific log using inputlookup the results to the original.

If you have always to get the latest HR data, when characterizing string and old log in the latest personnel data is considered that the change has occurred, it is because it is conceivable that the integrity of the log does not fit.

Also, please tell me if there is a best way for this method.

Postscript

even if output personnel data in csv file at the beginning of the month in outputlookup function, I believe that there is a need to create a lookup corresponding to the month manually.
This part (look-up table file - look up definitions - automatic lookup) or will there a way to automate?
And be in the search, not come out only part about the "automatic look-up". .

I thank you for reading it through.

0 Karma
1 Solution

Suda
Communicator

outputlookup <tablename>とするには、あらかじめ、がtransforms.confで定義されている必要があります。
outputlookup <tablename>を実行すると、<tablename>に関連付けられるファイルが更新されます。

View solution in original post

Suda
Communicator

outputlookup <tablename>とするには、あらかじめ、がtransforms.confで定義されている必要があります。
outputlookup <tablename>を実行すると、<tablename>に関連付けられるファイルが更新されます。

pisc
Explorer

ご回答ありがとうございます。
transforms.confに定義しているディレクトリにファイルを作るイメージになりますか?

0 Karma

Suda
Communicator

はい、その通りです。
transforms.confが保管されるApp以下のlookupsフォルダにファイルを作るイメージです。

0 Karma

pisc
Explorer

なるほど、tableと書くかfilenameと書くかはあまり変わらないのですね。

0 Karma
Get Updates on the Splunk Community!

.conf24 | Registration Open!

Hello, hello! I come bearing good news: Registration for .conf24 is now open!   conf is Splunk’s rad annual ...

Splunk is officially part of Cisco

Revolutionizing how our customers build resilience across their entire digital footprint.   Splunk ...

Splunk APM & RUM | Planned Maintenance March 26 - March 28, 2024

There will be planned maintenance for Splunk APM and RUM between March 26, 2024 and March 28, 2024 as ...