Я использую Splunk 3.4.10 с бесплатной лицензией на машине CentOS. Я создал сохраненную форму поиска под названием «Отслеживание почты», которую я надеюсь использовать для отслеживания отдельного сообщения через мои почтовые серверы, поскольку оно получает новые идентификаторы очереди. Этот поиск формы работал до вчерашнего дня, а теперь, когда я пытаюсь запустить его, регистрируется ошибка Splunk, в которой говорится: «Ошибка при замене переменной name =" foo ". Не удалось найти переменную в карте аргументов».
Текущий синтаксис для моего сохраненного поиска: ID = ": $ first $:" OR ID = ": $ second $:", где ID - извлеченное поле.
Когда я использовал ID = ": $ first $:", поиск завершается правильно, возвращаются все ожидаемые результаты. Кто-нибудь еще испытал это?
Вам лучше спросить об этом на форумах Splunk. Вокруг не так много людей, которые используют splunk, поэтому вам нужно сосредоточиться на правильном сообществе.
По крайней мере, вам нужно будет сообщить им, какой почтовый сервер вы используете, а также о преобразованиях, свойствах и полностью сохраненном поиске на splunk-сервере. Некоторые журналы тоже пригодятся.
После некоторых дополнительных исследований и тестирования выяснилось, что поиск по форме плохо обрабатывает пустые поля. Я не мог найти никакого способа обойти эту проблему, кроме как поместить что-то в ранее пустые поля.