概要
Splunk において、_time フィールドは、
データの時刻として色々なシーンで使用されます。
もちろん、フィールド名を変えたいケースもあると思います。
ですが、_time フィールドは rename コマンドで名前を変えることができません。
この記事では、_time フィールドを別名で使用する方法を記載します。
対象とする読者
- Splunk を使っている方で、SPL を書いたことのある方
-
_timeフィールド を別名で使用したい方
対応方法
答えから書きます。
_time フィールドは rename コマンドで名前を変えることができないため、
eval コマンドなどで加工して別の変数に保存します。
UNIX TIME で別名保存する
| eval 変数名=_time
ISO8601 形式で別名保存する
| eval 変数名=strftime(_time, "%Y-%m-%dT%H:%M:%S+09:00")
月日と時分 で別名保存する
| eval 変数名=strftime(_time, "%m/%d %H:%M")
サンプル
SPL
~
| eval 開始日時=strftime(_time, "%Y-%m-%dT%H:%M:%S+09:00")
| table 開始日時
結果
開始日時
---------------------------
2023-04-02T06:10:50+09:00
解説
2010年の記事ですが、Splunk Answers での回答によると、
「_time フィールドは、Splunk のイベントの時刻となるフィールドであるため、
_time そのものを変更することは望ましくなく、コピーして使用することが望ましい」
とのことです。