１．この記事の背景

前回(アドベントカレンダー9日目)に続き、もうひとつSplunkネタを書きたいと思います。

２．コマンドについて

Splunkはログなどを検索できるものですが、検索以外に使えたりします。今回は２つご紹介します。

「eval」は計算処理をしてフィールドに値を格納する(上書きも新規作成も可能)のが主なお仕事なのですが、この計算では文字列を作ることもできます。

| makeresults count=1
| eval STR1 = "山田 太郎"
| eval STR2 = "3"
| eval STR2 = STR1 + "さんの操作は上限5回に達しました( " + STR2 + "回)。"

ちなみに4行目を「STR3」とすると、STR1,2,3がすべて結果表示されます。
例では、説明でも書いたお仕事を明示したいのでわざと「STR2」を上書きしています。

これ、何に使えるかというと、アラートのメール通知を無機質なテーブルの結果記載からから、日本語文にすることができるのです！

公式サイトの「eval」についてはこちらから。

上段でも触れた「makeresults」。
端的にいうとダミーデータを作ることができます。
(ただしこのコマンド単体で作ったものはサーチ画面を閉じるとデータは消えます。)

コマンドの使い方や処理の例示のときにイベントログ代わりに使うことが多いです。
ちょっとだけ違った使い方をご紹介します。
最近ダッシュボードの選択肢を作るときに使いました(やり方を考えていて行き着いた)。

公式サイトの「makeresults」についてはこちらから。

工夫次第でいろんな使い方ができるのはうれしい(楽しい)ですね。
しょぼい内容ですが何かの参考になれば幸いです！