Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

JOINのON句について

masagara8823
Explorer
‎12-03-2015 08:36 PM

1.source="date1"| JOIN type=inner join col1[ SEARCH source="data1" ]で抽出件数が絞られまん。
また、
2.source="date1"| JOIN type=inner join col1 not col2 not col3 [ SEARCH source="data1" ]で下記のエラーが発生します。
Error in 'join' command: Field 'not' should not be specified more than once.
NOT条件は1つまでなのでしょうか。また、1で期待した件数の絞りこまれない原因は何なのでしょうか。

ご教示の程、宜しくお願いします。

0 Karma
Reply

masagara8823
Explorer
‎12-05-2015 11:24 PM

not が1つの場合はエラーにはなりませんでした。また、フィールドにnot という項目もありません。on句の指定数の制限については忘れて下さい。
やりたい事はテーブルの自己結合イメージで以下になります。
select distinct a.* from tbl as a inner join tbl as b on ( a.col1=b.col1 and a.col2<>b.col2 and a.col3<>b.col3)
以上、宜しくお願いします。

0 Karma
Reply

masagara8823
Explorer
‎12-04-2015 03:37 AM

回答有難うございます。
「Splunkを使ってみよう」にJOINについて記載がありましたが、DBのテーブル結合とどの程度互換があるのか分かりませんでした。
ON句に指定できる項目は4つまでNOTは使用不可との仕様になるのでしょうか。
以上、宜しくお願いします。

0 Karma
Reply

HiroshiSatoh
Champion
‎12-03-2015 10:59 PM

1で期待した件数の絞りこまれない原因
⇒おなじ条件のサーチ文なので当然絞り込まれません。もう少し具体的なサンプルがあれば回答可能だと思います。

NOT条件は1つまでなのでしょうか。
⇒マニュアル少し見ましたが、そもそもJOINコマンドにNOTは使えないと思われます。NOTを項目名と認識して2重で指定してあると判断されてエラーになっていると思います。

0 Karma
Reply

HiroshiSatoh
Champion
‎12-04-2015 06:48 AM

>ON句に指定できる項目は4つまでNOTは使用不可との仕様になるのでしょうか。
→マニュアル上は4つまでと制限されているような記述は見つけられませんでした。4つというのはどこからきましたか?NOTは使用不可です。

0 Karma
Reply
Get Updates on the Splunk Community!

Adoption of RUM and APM at Splunk

    Unleash the power of Splunk Observability   Watch Now In this can't miss Tech Talk! The Splunk Growth ...

Routing logs with Splunk OTel Collector for Kubernetes

The Splunk Distribution of the OpenTelemetry (OTel) Collector is a product that provides a way to ingest ...

Welcome to the Splunk Community!

(view in My Videos) We're so glad you're here! The Splunk Community is place to connect, learn, give back, and ...