こんなケースのときに試行錯誤して動いたSPLメモです。
・イベント検索し、そこからルックアップテーブルを作りたい
・一時的に特定の値を入れたい(でもイベントには出てこない)
もっとスマートなやり方があれば教えてください。。。。
index=~ sourcetype=~
|append [|makeresults |eval field="AAA]
| table mail | outputlookup max=0 table.csv
値を2つ(複数)追加したいとき
index=~ sourcetype=~
|append [|makeresults |eval field="AAA, BBB" |makemv delim="," mail |mvexpand mail]
| table mail | outputlookup max=0 table.csv
2行目:カンマ区切りで値を列挙し、カンマ区切りで分割している。