在splunk alert email subject中,我们有的时候会希望将查询结果中的某个字段值放在subject中引用,一般情况下我们使用result.fieldname即可,但是这种做法只可适用于单条数据,因为result的用法是只针对查询结果中的第一条数据有效:
所以要想使多条数据中的某个字段值都引用到subject中,我们可以尝试使用eventstats然后使用nomv命令将多个值合并在一起,也许还有更好的获取值的方式,但是目前只找到了这一种可用方法:
假设原来的数据是这样的:
我们想在alert email 中引用student这个字段的值,并且是这三条数据的所有student的值,可以在spl中加上eventstats和nomv命令即可:
...base se