LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@frozencatpisces(こおりねこ)

Splunk: 文字列操作 - 結合、切り出し、置き換え、削除

Posted at

しばしば必要となるのでメモ。

実施環境: Splunk Free 8.2.2
文字列の結合

文字列同士を結合する場合は、単純に「プラス記号(+)」で繋げれば結合できます。

Splunk
| makeresults count=1
| eval STR1 = "fg"
| eval STR2 = "hi"
| eval STR3 = "abc" + "de" + STR1 + STR2 + "jk" + "lmn"

スクリーンショット 2022-01-04 21.20.48.png

「プラス記号(+)」の代わりに、「ドット(.)」を使用しても結合できます。

Splunk
| makeresults count=1
| eval STR1 = "fg"
| eval STR2 = "hi"
| eval STR3 = "abc" . "de" . STR1 . STR2 . "jk" . "lmn"

スクリーンショット 2022-01-04 21.22.56.png

数値を文字列として結合する場合も、同様に結合できます。
ただし、その場合は「ドット(.)」を用いて結合する必要があります。
「プラス記号(+)」を用いて結合した場合、数値同士なら通常の足し算として解釈されてしまいますし、数値と文字列ならエラーとなります。

Splunk
| makeresults count=1
| eval STR1 = "fg"
| eval NUM1 = 34
| eval STR2 = 12 . NUM1 . 5
| eval NUM2 = 12 + NUM1 + 5
| eval STR3 = "abc" . 12 . STR1 . NUM1 . 5 . "lmn"

スクリーンショット 2022-01-04 21.45.12.png

文字列の切り出し

文字列を切り出すには、 eval コマンドの substr 関数を使用します。
引数は、それぞれ次のように指定します。

  • 先頭N文字目以降 : substr(文字列,N)
  • 末尾N文字目以降 : substr(文字列,-N)
  • 先頭N文字目以降M文字分 : substr(文字列,N,M)
  • 末尾N文字目以降M文字分 : substr(文字列,-N,M)
Splunk
| makeresults count=1
| eval STR0 = "abcdefghijklmn"
| eval STR1 = substr(STR0, 5),
       STR2 = substr(STR0, -5),
       STR3 = substr(STR0, 5, 3),
       STR4 = substr(STR0, -5, 3)

スクリーンショット 2022-01-04 21.54.12.png

うまく引数を指定したり、文字数を取得する len 関数と組み合わせることで、以下のような切り出し方も可能となります。

  • 先頭N文字目以前 : substr(文字列,1,N)
  • 末尾N文字目以前 : substr(文字列,1,len(文字列)-(N-1))
  • 先頭N文字目以前M文字分 : substr(文字列,N-(M-1),M)
  • 末尾N文字目以前M文字分 : substr(文字列,len(文字列)-(N+M-1),M)
Splunk
| makeresults count=1
| eval STR0 = "abcdefghijklmn"
| eval STR1 = substr(STR0, 1, 5),
       STR2 = substr(STR0, 1, len(STR0) - (5 - 1)),
       STR3 = substr(STR0, 5 - (3 - 1), 3),
       STR4 = substr(STR0, len(STR0) - (5 - 1) - (3 - 1), 3)

スクリーンショット 2022-01-04 22.10.21.png

文字列の置き換えと削除

文字列を置き換えるには、 eval コマンドの replace 関数を使用します。
引数は次のように指定します。

replace(元の文字列,置き換え前の文字列,置き換え後の文字列)

Splunk
| makeresults count=1
| eval STR0 = "abcdefgabcdefg"
| eval STR1 = replace(STR0, "abc", "XXXXX")

スクリーンショット 2022-01-04 22.18.44.png

置き換え後の文字列を空文字にすれば、文字列の削除としても使用できます。

Splunk
| makeresults count=1
| eval STR0 = "abcdefgabcdefg"
| eval STR1 = replace(STR0, "abc", "")

スクリーンショット 2022-01-04 22.28.07.png

なお、この replace 関数には正規表現が適用されます。
通常のアルファベットや数字程度なら気にする必要はありませんが、記号が含まれる場合は適宜「バックスラッシュ(\)」でエスケープしないと思わぬ動作を起こす場合があるので注意が必要です。
例えば以下の例では、「a+」が「aという文字の1文字以上の繰り返し」として解釈されてしまっています。

Splunk
| makeresults count=1
| eval STR0 = "aaa+bbb"
| eval STR1 = replace(STR0, "a+", "XXXXX"),
       STR2 = replace(STR0, "a\+", "XXXXX")

スクリーンショット 2022-01-04 22.24.46.png

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?