Я пытаюсь извлечь совпавшие строки из многозначного поля и отобразить в другом столбце. Я пробовал различные варианты разделения поля по разделителю, а затем mvexpand, а затем пользователь where / search, чтобы вытащить эти данные. Я пытался найти более простой способ сделать это без всех этих хлопот в запросе SPLUNK.
Пример. Допустим, у меня ниже многозначное поле column1 с данными, разделенными запятой-разделителем.
column1 = abc1, test1, test2, abctest1, mail, send, mail2, sendtest2, new, code, results
Я разделял этот столбец с помощью разделителя |eval column2=split(column1,",") и использовал регулярное выражение / where / search для поиска данных с *test* в этом столбце и возврата результатов, где я смог получить результаты, но столбец 1 по-прежнему показывает все значения abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results , я хочу либо обрезать1 столбец1, чтобы отображались только слова, совпадающие с test, либо отображать те записи в новом столбце2, в котором должны отображаться только эти слова test1,test2,abctest1,sendtest2, поскольку они соответствуют только *test*.
Буду признателен за вашу помощь, спасибо.
