splunk学习笔记——lookup table

1.需求

查找近一个月内没有使用过邮箱的用户

2.准备

通过查询官方文档《Search Reference》，inputlookup命令可以满足需求。
数据准备：
a. 邮件日志：mail-iislog
b. 所有用户的邮箱地址文件mail.csv（必须是csv格式）
目的：查找在mail.csv中出现，但在mail-iislog中没有出现的用户名
实现：
a. 导入mail.csv到splunk中作为查找表，inputlookup命令查找该表的所有的User
b. 查找mail-iislog中所有的User
c. 在mail.csv中搜索不是mail-iislog的User

---

3.具体操作

1）上传用户名文件

（1）选择【设置】-【查找】

（2）选择【查找表文件】-【新增】

（3）上传文件mail.csv

2）定义基于文件的查找

（1）选择【查找定义】-【新增】

（2）新增查找定义

3）查询

• inputlookup命令搜索查找表的内容，即可以用inputlookup命令搜索之前建立的查找表mail_test，也就是mail.csv的内容
• 注意查询出mail-iislog的username后要重命名和mail.csv中的表头一致
• NOT是为了找出mail_test中的User不在mail-iislog的username的部分，即找出一整个月没有使用过邮箱的User