Splunk 的field 的命名直接影响搜索的效果,所以改名就是一个比较好的方法:
这样一个case, 如果三种数据中的某个字段是一个意思,而且可以统一成一个字段的话,就使用一个别名:
下面使用方法:
2: One filed alias will be used for new filed in multiple types:
3: 创建好上面三个字段别名后,去Splunk UI 搜索一下:
参考文档:Create field aliases in Splunk Web - Splunk Documentation