Splunk - เขตข้อมูลจากการคำนวณ
หลายครั้งเราจะต้องทำการคำนวณบางอย่างในฟิลด์ที่มีอยู่แล้วในเหตุการณ์ Splunk นอกจากนี้เรายังต้องการเก็บผลลัพธ์ของการคำนวณเหล่านี้เป็นฟิลด์ใหม่ที่จะอ้างถึงในภายหลังโดยการค้นหาต่างๆ สิ่งนี้ทำได้โดยใช้แนวคิดของเขตข้อมูลจากการคำนวณในการค้นหา Splunk
ตัวอย่างที่ง่ายที่สุดคือการแสดงอักขระสามตัวแรกของวันในสัปดาห์แทนชื่อวันที่สมบูรณ์ เราจำเป็นต้องใช้ฟังก์ชัน Splunk บางอย่างเพื่อให้เกิดการจัดการฟิลด์นี้และจัดเก็บผลลัพธ์ใหม่ภายใต้ชื่อฟิลด์ใหม่
ตัวอย่าง
ไฟล์บันทึก Web_application มีสองฟิลด์ชื่อไบต์และ date_wday ค่าในช่องไบต์คือจำนวนไบต์ เราต้องการแสดงค่านี้เป็น GB สิ่งนี้จะต้องแบ่งฟิลด์ด้วย 1024 เพื่อให้ได้ค่า GB เราจำเป็นต้องใช้การคำนวณนี้กับฟิลด์ไบต์
ในทำนองเดียวกัน date_wday จะแสดงชื่อที่สมบูรณ์ของวันในสัปดาห์ แต่เราจำเป็นต้องแสดงเฉพาะอักขระสามตัวแรกเท่านั้น
ค่าที่มีอยู่ในสองฟิลด์นี้จะแสดงในภาพด้านล่าง -
การใช้ฟังก์ชัน eval
ในการสร้างเขตข้อมูลจากการคำนวณเราใช้ฟังก์ชัน eval ฟังก์ชันนี้จะเก็บผลลัพธ์ของการคำนวณในฟิลด์ใหม่ เราจะใช้การคำนวณสองรายการด้านล่าง -
# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)
# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)
การเพิ่มฟิลด์ใหม่
เราเพิ่มฟิลด์ใหม่ที่สร้างขึ้นด้านบนในรายการฟิลด์ที่เราแสดงเป็นส่วนหนึ่งของผลการค้นหา ในการทำเช่นนี้เราเลือกAll fields ตัวเลือกและทำเครื่องหมายถูกกับชื่อของฟิลด์ใหม่เหล่านี้ดังแสดงในภาพด้านล่าง -
การแสดงเขตข้อมูลจากการคำนวณ
หลังจากเลือกช่องด้านบนแล้วเราจะเห็นช่องจากการคำนวณในผลการค้นหาดังที่แสดงด้านล่าง คำค้นหาจะแสดงฟิลด์จากการคำนวณดังที่แสดงด้านล่าง -