我在 CentOS 机器上使用带有免费许可证的 Splunk 3.4.10。我创建了一个名为“跟踪邮件”的已保存表单搜索,我希望使用它来跟踪通过我的邮件服务器的单个消息,因为它获得了新的队列 ID。现在,这个表单搜索一直工作到昨天,现在当我尝试运行它时,会记录一个 Splunk 错误,上面写着“替换变量名 =“foo”时出错。在参数映射中找不到变量。”
我保存的搜索的当前语法是: ID = ": $first$:" OR ID = ": $second$:" 其中 ID 是提取的字段。
当我使用 ID = ": $first$:" 时,搜索正确完成,返回所有预期结果。有没有其他人经历过这个?
你最好在 Splunk 论坛上询问这个问题。周围使用 splunk 的人并不多,因此您希望专注于正确的社区。
至少您需要告诉他们您使用的邮件服务器以及 splunk 服务器上的转换、道具和完整保存的搜索。一些日志片段也会很方便。
事实证明,经过更多的挖掘和测试,表单搜索不能很好地处理空字段。除了在以前的空白字段中放置一些东西之外,我想不出任何解决这个问题的方法。