第一步:配置文件:(注意此处我把它配置在search文件下的default,配置在local里的权限大一点,但是我的配置在local里不行,所以配置在default下。)
collections.conf里的内容:
1处的内容是定义自己需要的字段
2处内容是加速用的
第二步在splunk里增加lookup,直接上图啦
保存之后可以查看一下
可以更改权限
到search里查找,先outputlookup出来
再inputlookup
保存之后可以查看一下