#1 こんなデータ
- FieldA と FieldB の列を持つ
- FieldA の属性が FieldB にもつが、イベント(行)ごとに分かれている
- FieldA で集約して、1イベントに複数属性をもたせたい
#2 それをこうしたい
- 集約したFieldA ごとに各FieldBの属性を並べて表示
#3 データ取り込んでみた
テーブル化
#4 SPLで編集して整形
source="test.csv" host="test" index="test" sourcetype="csv"
| table FieldA,FieldB
| stats values(FieldB) as values by FieldA
| eval FieldC=if(isnotnull(mvfind(values,"監督")),"監督","")
| eval FieldD=if(isnotnull(mvfind(values,"選手")),"選手","")
| eval FieldE=if(isnotnull(mvfind(values,"コーチ")),"コーチ","")
| table FieldA,FieldC,FieldD,FieldE
- まず stats values by でFieldAごとにマルチバリュー(mv)で集約する
- mvfind()で mvに含まれている文字列がnullでなければ、その文字列を新規Filed に挿入
- table で整形