Splunk - Berechnete Felder

Oft müssen wir einige Berechnungen für die Felder durchführen, die bereits in den Splunk-Ereignissen verfügbar sind. Wir möchten das Ergebnis dieser Berechnungen auch als neues Feld speichern, auf das später bei verschiedenen Suchvorgängen verwiesen wird. Dies wird durch die Verwendung des Konzepts der berechneten Felder in der Splunk-Suche ermöglicht.

Ein einfachstes Beispiel besteht darin, die ersten drei Zeichen eines Wochentags anstelle des vollständigen Tagesnamens anzuzeigen. Wir müssen bestimmte Splunk-Funktionen anwenden, um diese Manipulation des Feldes zu erreichen und das neue Ergebnis unter einem neuen Feldnamen zu speichern.

Beispiel

Die Web_application-Protokolldatei enthält zwei Felder mit den Namen bytes und date_wday. Der Wert im Feld Bytes ist die Anzahl der Bytes. Wir möchten diesen Wert als GB anzeigen. Dazu muss das Feld durch 1024 geteilt werden, um den GB-Wert zu erhalten. Wir müssen diese Berechnung auf das Bytefeld anwenden.

In ähnlicher Weise zeigt date_wday den vollständigen Namen des Wochentags an. Wir müssen jedoch nur die ersten drei Zeichen anzeigen.

Die vorhandenen Werte in diesen beiden Feldern werden in der folgenden Abbildung angezeigt.

Verwenden der Auswertungsfunktion

Um ein berechnetes Feld zu erstellen, verwenden wir die Auswertungsfunktion. Diese Funktion speichert das Ergebnis der Berechnung in einem neuen Feld. Wir werden die folgenden zwei Berechnungen anwenden -

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

Neue Felder hinzufügen

Wir fügen der Liste der Felder, die wir als Teil des Suchergebnisses anzeigen, neue Felder hinzu, die oben erstellt wurden. Dazu wählen wirAll fields Optionen und Häkchen gegen den Namen dieser neuen Felder, wie im folgenden Bild gezeigt -

Anzeigen der berechneten Felder

Nachdem Sie die Felder oben ausgewählt haben, können wir die berechneten Felder im Suchergebnis wie unten gezeigt sehen. Die Suchabfrage zeigt die berechneten Felder wie folgt an:

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved