Ich habe einen Outbound-Flow, der Daten von App, Mem und Karten API geschrieben erhält. Karten und Mem API schreibt Protokolle in Applog, aber App schreibt Protokolle in Syslog.Wie Bedingung in Splunk Datenmodell Constraint hinzufügen
In meinem Datenmodell habe ich Quellentyp = App_log als Quelltyp. Also im Falle aller Flüsse außer App bekomme ich Schreib-Splunk-Dashboard-Bericht, aber für die Anwendung bekomme ich keine Daten.
Deshalb mag ich wie eine Bedingung in Datenmodell „Zwang“ Abschnitt hinzufügen, wenn api Anwendungen sind dann Sourcetype = app_log OR Sourcetype = sys_log sonst Sourcetype = app_log
Kann mir jemand helfen, wie dies zu tun in Splunk?