我在 CentOS 机器上使用带有免费许可证的 Splunk 3.4.10。我创建了一个名为“跟踪邮件”的已保存表单搜索,希望使用它来跟踪通过我的邮件服务器的单个消息,因为它会获得新的队列 ID。现在,这个表单搜索一直有效到昨天,现在当我尝试运行它时,会记录一个 Splunk 错误,提示“替换变量名称=“foo”时出错。无法在参数映射中找到变量。”
我已保存的搜索的当前语法是:ID =“:$first$:”或ID =“:$second$:”,其中ID是提取的字段。
当我使用 ID = ": $first$:" 时,搜索正确完成,返回所有预期结果。有其他人遇到过这种情况吗?
答案1
您最好在 Splunk 论坛上询问这个问题。周围没有那么多人使用 splunk,所以您需要专注于正确的社区。
至少你需要告诉他们你使用的邮件服务器以及 splunk 服务器上的转换、属性和完整保存的搜索。一些日志片段也会很有用。
答案2
经过进一步的挖掘和测试,结果发现表单搜索不能很好地处理空字段。除了在之前的空字段中输入一些内容外,我想不出解决这个问题的任何方法。