Splunk-計算フィールド

多くの場合、Splunkイベントで既に利用可能なフィールドで計算を行う必要があります。 また、これらの計算の結果を新しいフィールドとして保存し、後でさまざまな検索で参照できるようにします。 これは、Splunk検索で計算フィールドの概念を使用することで可能になります。

最も単純な例は、完全な曜日名ではなく、曜日の最初の3文字を表示することです。 特定のSplunk関数を適用して、フィールドのこの操作を実現し、新しい結果を新しいフィールド名で保存する必要があります。

例

Web_applicationログファイルには、bytesおよびdate_wdayという2つのフィールドがあります。 バイトフィールドの値はバイト数です。 この値をGBとして表示する必要があります。 GB値を取得するには、フィールドを1024で割る必要があります。 この計算をバイトフィールドに適用する必要があります。

同様に、date_wdayは曜日の完全な名前を表示します。 ただし、最初の3文字のみを表示する必要があります。

これらの2つのフィールドの既存の値は、以下の画像に示されています-

計算フィールド1

eval関数を使用する

計算フィールドを作成するには、eval関数を使用します。 この関数は、計算の結果を新しいフィールドに保存します。 以下の2つの計算を適用します-

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

新しいフィールドを追加する

上記で作成した新しいフィールドを、検索結果の一部として表示するフィールドのリストに追加します。 これを行うには、以下の画像に示すように、*すべてのフィールド*オプションを選択し、これらの新しいフィールドの名前にチェックマークを付けます-

Calculated Fields2

計算フィールドの表示

上記のフィールドを選択すると、以下に示すように、検索結果に計算フィールドが表示されます。 検索クエリは、以下に示すように計算フィールドを表示します-

Calculated Fields3