しばしば使用するのでメモ。
実施環境: Splunk Free 8.2.2
ルックアップは一般には既存のデータに対して情報を追加するために使用しますが、その本体がリストデータであることから、簡易的なテストデータとしても使用できます。
例えば、以下のようなテストデータが欲しいとします。
| _time | NUM | STR |
|---|---|---|
| 2022/1/7 9:00:00 | 100 | AAA |
| 2022/1/7 9:00:05 | 200 | BBB |
| 2022/1/7 9:01:00 | 300 | CCC |
本来であればサーバ上で該当のログを作成し、それが Splunk に取り込まれた後に試験を実施するべきですが、環境などによってはそれが難しい場合もあります。
そこで、ルックアップファイルの出番です。
まずは、以下のような CSV ファイルを作成します。
ログ出力日時の列名を「_time」、値を10桁の UNIX 時刻にすることがポイントです。
この CSV ファイルをルックアップテーブルファイルとして登録します。
あとは inputlookup コマンドを使用することで、この CSV ファイルのデータをそのまま持ってくることが可能です。
Splunk
| inputlookup "testdata.csv"
search コマンドの代わりにこのコマンドを置くことで、登録した CSV ファイルをテストデータとして使用できます。
Splunk
| inputlookup "testdata.csv"
| timechart span=1m sum(NUM)
Splunk のアドオンである Lookup Editor と合わせると、テストデータを簡単に作成できるようになるため便利です。