我在CentOS机器上使用Splunk 3.4.10和免费许可证。 我创build了一个名为“跟踪邮件”的保存表单search,我希望通过邮件服务器跟踪单个邮件,因为它获取新的队列ID。 现在,这个表单search一直工作到昨天,现在当我尝试运行它时,会logging一个Splunk错误,指出“在更换variables名称=”foo时出错“,在参数映射中找不到variables。
我保存的search的当前语法是:ID =“:$ first $:”OR ID =“:$ second $:”其中ID是提取的字段。
当我使用ID =“:$ first $:”search完成,返回所有预期的结果。 有没有人经历过这个?
你最好在Splunk论坛上询问这个问题。 周围没有那么多的人使用,所以你想专注于正确的社区。
至less你需要告诉他们你正在使用什么邮件服务器以及在splunk服务器上的转换,道具和完整保存的search。 一些日志logging也会很方便。
事实certificate,经过一些更深入的挖掘和testing,表单search不能很好地处理空白字段。 除了在之前的空白字段中join某些东西之外,我无法解决这个问题。