Bárki használhat lookup table-ket a Splunk környezetben. De hol és hogyan lehet megnézni, hogy ki is használja ténylegesen adott táblát? Elsőre lehet keresni az audit logok között, hiszen ott látható lesz, ha valamelyik keresésben szerepelt a tábla neve:
...
index=_audit action=search info=completed search="*your_lookup_table_name*"
...
Ám a helyzet (sajnos) ennél kicsit bonyolultabb. Hiszen nem csak a keresésekben, de automatic lookup-okban, lookup paranccsal is elérhető a tábla. Ezért fontos, hogy a Splunk felhasználók search.log file-t is alaposan nézzük át, ott látszik, hogyan lettek meghívva a lookup table-ek.
Részletek:
https://community.splunk.com/t5/Splunk-Search/Find-what-is-using-a-lookup-table/m-p/743093#M241013