문제는 네트워크 이벤트가 워낙 대량이라 작업이 좀 번거로움. 이때 join이 쉬운 해결책이 될 수 있다.
스플렁크 조인은 교집합이 존재하는 주 검색과 하위 검색 결과를 결합하는 방식.
그런데 데이터 소스가 다를 경우 집계 작업은 하위 검색 결과만 보여준다. 원본 이벤트만 볼거라면 상관 없지만, 집계 작업 시엔 보고 싶은 데이터가 하위 검색 결과에 포함되어야 한다는 얘기.
참고로 join 구문을 빼면 하위 검색이 주 검색의 조건문으로 동작하기 때문에 더 간편하게 원하는 결과를 얻을 수도 있다. 물론 조건을 명확히 지정해줘야 함.
22와 5156 이벤트를 같이 보고 싶다면 transaction 명령 추천.
한 눈에 두 이벤트를 확인할 수 있으니 가장 직관적이라고 할 수 있다. 문제는 두 이벤트의 발생 간격이 일정하지 않아서(..)
관련 글
댓글 없음:
댓글 쓰기