Splunk-計算フィールド
多くの場合、Splunkイベントですでに使用可能なフィールドでいくつかの計算を行う必要があります。また、これらの計算結果を新しいフィールドとして保存し、後でさまざまな検索で参照できるようにします。これは、Splunk検索で計算フィールドの概念を使用することで可能になります。
最も簡単な例は、完全な日の名前ではなく、曜日の最初の3文字を表示することです。このフィールドの操作を実現し、新しい結果を新しいフィールド名で保存するには、特定のSplunk関数を適用する必要があります。
例
Web_applicationログファイルには、bytesとdate_wdayという名前の2つのフィールドがあります。バイトフィールドの値はバイト数です。この値をGBとして表示します。これには、GB値を取得するために、フィールドを1024で除算する必要があります。この計算をバイトフィールドに適用する必要があります。
同様に、date_wdayには、曜日の完全な名前が表示されます。ただし、最初の3文字だけを表示する必要があります。
これら2つのフィールドの既存の値は、次の画像に示されています。
eval関数の使用
計算フィールドを作成するには、eval関数を使用します。この関数は、計算結果を新しいフィールドに格納します。以下の2つの計算を適用します-
# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)
# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)
新しいフィールドの追加
上記で作成した新しいフィールドを、検索結果の一部として表示するフィールドのリストに追加します。これを行うには、All fields 以下の画像に示すように、オプションとこれらの新しいフィールドの名前に対するチェックマークをチェックします-
計算されたフィールドの表示
上記のフィールドを選択すると、以下に示すように、検索結果に計算されたフィールドが表示されます。検索クエリは、以下に示すように計算フィールドを表示します-