Splunk-計算フィールド

多くの場合、Splunkイベントですでに使用可能なフィールドでいくつかの計算を行う必要があります。また、これらの計算結果を新しいフィールドとして保存し、後でさまざまな検索で参照できるようにします。これは、Splunk検索で計算フィールドの概念を使用することで可能になります。

最も簡単な例は、完全な日の名前ではなく、曜日の最初の3文字を表示することです。このフィールドの操作を実現し、新しい結果を新しいフィールド名で保存するには、特定のSplunk関数を適用する必要があります。

Web_applicationログファイルには、bytesとdate_wdayという名前の2つのフィールドがあります。バイトフィールドの値はバイト数です。この値をGBとして表示します。これには、GB値を取得するために、フィールドを1024で除算する必要があります。この計算をバイトフィールドに適用する必要があります。

同様に、date_wdayには、曜日の完全な名前が表示されます。ただし、最初の3文字だけを表示する必要があります。

これら2つのフィールドの既存の値は、次の画像に示されています。

eval関数の使用

計算フィールドを作成するには、eval関数を使用します。この関数は、計算結果を新しいフィールドに格納します。以下の2つの計算を適用します-

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

新しいフィールドの追加

上記で作成した新しいフィールドを、検索結果の一部として表示するフィールドのリストに追加します。これを行うには、All fields 以下の画像に示すように、オプションとこれらの新しいフィールドの名前に対するチェックマークをチェックします-

計算されたフィールドの表示

上記のフィールドを選択すると、以下に示すように、検索結果に計算されたフィールドが表示されます。検索クエリは、以下に示すように計算フィールドを表示します-