Splunk - เขตข้อมูลจากการคำนวณ

หลายครั้งเราจะต้องทำการคำนวณบางอย่างในฟิลด์ที่มีอยู่แล้วในเหตุการณ์ Splunk นอกจากนี้เรายังต้องการเก็บผลลัพธ์ของการคำนวณเหล่านี้เป็นฟิลด์ใหม่ที่จะอ้างถึงในภายหลังโดยการค้นหาต่างๆ สิ่งนี้ทำได้โดยใช้แนวคิดของเขตข้อมูลจากการคำนวณในการค้นหา Splunk

ตัวอย่างที่ง่ายที่สุดคือการแสดงอักขระสามตัวแรกของวันในสัปดาห์แทนชื่อวันที่สมบูรณ์ เราจำเป็นต้องใช้ฟังก์ชัน Splunk บางอย่างเพื่อให้เกิดการจัดการฟิลด์นี้และจัดเก็บผลลัพธ์ใหม่ภายใต้ชื่อฟิลด์ใหม่

ตัวอย่าง

ไฟล์บันทึก Web_application มีสองฟิลด์ชื่อไบต์และ date_wday ค่าในช่องไบต์คือจำนวนไบต์ เราต้องการแสดงค่านี้เป็น GB สิ่งนี้จะต้องแบ่งฟิลด์ด้วย 1024 เพื่อให้ได้ค่า GB เราจำเป็นต้องใช้การคำนวณนี้กับฟิลด์ไบต์

ในทำนองเดียวกัน date_wday จะแสดงชื่อที่สมบูรณ์ของวันในสัปดาห์ แต่เราจำเป็นต้องแสดงเฉพาะอักขระสามตัวแรกเท่านั้น

ค่าที่มีอยู่ในสองฟิลด์นี้จะแสดงในภาพด้านล่าง -

การใช้ฟังก์ชัน eval

ในการสร้างเขตข้อมูลจากการคำนวณเราใช้ฟังก์ชัน eval ฟังก์ชันนี้จะเก็บผลลัพธ์ของการคำนวณในฟิลด์ใหม่ เราจะใช้การคำนวณสองรายการด้านล่าง -

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

การเพิ่มฟิลด์ใหม่

เราเพิ่มฟิลด์ใหม่ที่สร้างขึ้นด้านบนในรายการฟิลด์ที่เราแสดงเป็นส่วนหนึ่งของผลการค้นหา ในการทำเช่นนี้เราเลือกAll fields ตัวเลือกและทำเครื่องหมายถูกกับชื่อของฟิลด์ใหม่เหล่านี้ดังแสดงในภาพด้านล่าง -

การแสดงเขตข้อมูลจากการคำนวณ

หลังจากเลือกช่องด้านบนแล้วเราจะเห็นช่องจากการคำนวณในผลการค้นหาดังที่แสดงด้านล่าง คำค้นหาจะแสดงฟิลด์จากการคำนวณดังที่แสดงด้านล่าง -